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加 加 第 5 版 前 言 有 


考虑 到 交换 机 与 路 由 器 设备 在 市 场 上 的 占有 率 以 及 服务 器 操作 系统 的 升级 换代 ， 本 次 修 编 对 
交换 机 和 路 由 器 的 配置 以 及 服务 器 操作 系统 及 配置 进行 了 替换 。 第 1 章 由 雷震 甲 、 张 凡 编 写 ; 第 
2 章 由 吴 小 获 、 杨 俊 卿 编写 : 第 3 章 由 严 体 华 、 刘 伟 编写 : 第 4 章 由 张 永 刚 、 王 亚 平 编写 ; 第 
5 章 由 雷震 甲 编写 ; 第 6 章 由 高 悦 、 刘 强 编写 ; 第 7 章 由 吴 振 强 、 武 波 编写 ,第 8 章 由 高 振江 、 
王 黎 明 编写 ; 第 9 章 由 张 武 军 、 张 志 钦 编写 ; 第 10 章 由 景 为 、 宋 胜利 编写 ; 第 11 章 由 谢 志 诚 、 
霍 秋 艳 编写 ， 第 12 章 由 曹 燕 龙 、 褚 华 编写 。 


作者 
2018 年 1 月 


第 4 版 前 言 本 时 


考虑 到 无 线 互联 网 和 IPv6 技术 的 应 用 已 经 普及 , 所 以 这 次 修订 把 无 线 通信 网 和 下 一 代 互 联网 


的 有 关内 容 独 立 出 来 ， 经 扩充 后 成 为 单独 的 两 章 ， 全 书 增加 到 12 章 。 各 章 的 作者 如 下 : 雷震 
甲 编写 了 第 1 章 、 第 5 章 和 第 6 章 ， 张 淑 平 编写 了 第 2 章 ; 严 体 华 编写 了 第 3 章 和 第 9 章 ， 高 
振江 编写 了 第 4 章 ， 吴 晓 葵 编 写 了 第 7 章 和 第 10 章 ; 张 志 钦 编写 了 第 8 章 ， 张 武 军 编写 了 第 


11 章 ， 曹 艳 龙 编写 了 第 12 章 。 


作者 
2014 年 4 月 


和 第 3 版 (修订 版 前 言 国 本 


根据 新 的 网 络 工程 师 考试 大 纲 ， 这 次 再 版 时 对 本 书 内 容 进 行 了 比较 大 的 调整 ， 对 基础 知识 
部 分 进行 了 简化 ， 对 应 用 技术 部 分 进行 了 改写 ， 突 出 了 网 络 服务 器 的 配置 、 路 由 器 和 交换 机 的 
配置 ， 以 及 网 络 安全 和 网 络 管理 等 实用 技术 。 在 适当 调整 后 ， 全 书 分 为 10 章 ， 其 主要 内 容 介 
绍 如 下 。 

第 1 章 介绍 计算 机 网 络 的 基本 概念 , 这 一 章 最 主要 的 内 容 是 计算 机 网 络 的 体系 结构 一 一 ISO 开 
放 系统 互 连 参考 模型 ， 其 中 的 基本 概念 ， 例 如 协议 实体 、 协 议 数 据 单元 、 服 务 数据 单元 、 面 向 
连接 的 服务 和 无 连接 的 服务 、 服 务 原 语 、 服 务 访问 点 、 相 邻 层 之 间 的 多 路 复 用 ， 以 及 各 个 协议 
层 的 功能 特性 等 ， 都 是 进行 网 络 分 析 的 理论 基础 ， 是 网 络 工程 技术 人 员 应 该 掌握 的 基础 
知识 。 

第 2 章 讲述 数据 通信 的 基础 知识 ， 这 一 章 主要 是 属于 物理 层 的 内 容 。 网 络 工程 师 除了 熟悉 
网 络 协议 的 工作 原理 、 能 够 操作 网 络 互 连 设备 之 外 ， 也 应 该 掌握 数据 通信 方面 的 基础 知识 ， 这 
样 ， 在 进行 网 络 故障 分 析 和 故障 排除 时 才能 做 到 有 的 放 矢 ， 事 半 功 倍 地 解决 问题 。 

第 3 章 介绍 电话 网 、 数 据 通信 网 、 帧 中 继 网 和 综合 业务 数字 网 等 广 域 通信 网 方面 的 基础 知 
识 ， 这 些 网 络 都 是 进行 网 络 互 连 时 必须 要 用 到 的 基础 设施 ， 这 方面 的 基础 知识 可 以 帮助 网 络 工 
程 师 根据 已 有 的 条 件 选择 网 络 互 连 设备 。 

第 4 章 详细 介绍 局 域 网 和 城 域 网 方面 的 主要 技术 。 这 次 修改 时 突出 了 快速 以 太 网 技术 ， 删 
去 了 较 少 使 用 的 令 牌 环 网 等 ， 丰 富 了 无 线 局 域 网 和 城 域 网 方面 的 内 容 。 这 一 章 是 网 络 工程 师 应 
该 掌握 的 最 重要 的 基础 知识 。 

第 5 章 讨论 了 网 络 互 连 的 基本 原理 ， 深 入 讲解 了 Intemet 协议 及 其 提供 的 网 络 服务 。 这 一 
章 也 是 网 络 工程 师 应 该 掌握 的 重要 的 基础 知识 。 

第 6 章 包含 了 网 络 安全 方面 的 基础 知识 和 应 用 技术 。 读 者 应 该 掌握 诸如 数据 加 密 、 报 文 认 
证 、 数 字 签 名 等 基本 理论 ， 在 此 基础 上 深入 理解 网 络 安全 协议 的 工作 原理 ， 并 能 够 针对 具体 的 
网 络 系统 设计 和 实现 简单 的 安全 解决 方案 。 

第 7 章 介绍 了 Windows 和 Linux 操作 系统 的 基础 知识 , 并 详细 讲述 了 常用 的 各 种 服务 器 的 
配置 方法 。 这 一 章 的 内 容 主要 是 在 具体 操作 方面 ， 网 络 工程 师 要 能 够 熟练 地 配置 各 种 网 络 服务 
器 ， 排 除 网 络 服务 器 中 出 现 的 故障 。 

第 8 章 是 有 关 网 络 互 连 设 备 操作 方面 的 基础 知识 和 实用 技术 , 这 一 章 也 是 要 求 能 够 熟练 地 
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操作 ,重点 是 VLAN 和 动态 路 由 配置 。 要 求 网 络 工程 师 能 够 熟悉 网 络 互 连 设备 的 工作 原理 ， 掌 
握 路 由 器 和 交换 机 的 配置 命令 ， 能 够 排除 网 络 互 连 设备 的 故障 。 

第 9 章 是 网 络 管理 , 读者 除了 要 熟悉 SNMP 协议 的 体系 结构 和 操作 原理 之 外 , 还 要 能 实际 
操作 网 络 管理 系统 ， 熟 练 地 使 用 常见 的 网 络 管理 命令 ， 针 对 具体 的 网 络 给 出 实用 的 网 络 管理 解 
决 方案 。 

第 10 章 讲述 网 络 规划 与 设计 。 网 络 工程 师 应 该 能 够 根据 网 络 的 设计 目标 ， 按 照 系统 工程 
的 方法 给 出 解决 方案 ， 写 出 规范 的 设计 和 实施 文档 。 另 外 ， 这 一 章 还 给 出 了 网 络 规 划 和 设计 的 
案例 ， 作 为 学 习 时 的 参考 。 

新 大 纲 增加 了 IPv6、802.11x、MPLS、 光 纤 主 干 网 等 新 技术 ， 希 望 读 者 给 予 注意 。 


编者 
2009 年 4 月 
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计算 机 网 络 是 计算 机 技术 与 通信 技术 相 结 合 的 产物 。 计算机 网 络 是 信息 收集 、 分 发 、 存 储 、 
处 理 和 消费 的 重要 和 载体。 计算 机 网 络 作为 一 种 生产 和 生活 工具 被 人 们 广泛 接纳 和 使 用 之 后 ， 对 
人 类 社会 的 经 济 、 政 治 和 文化 生活 产生 了 重大 影响 。 本 章 讲述 计算 机 网 络 的 基本 概念 和 发 展 简 
史 ， 以 及 国际 标准 化 组 织 定义 的 开放 系统 互 连 参考 模型 ， 后 者 是 分 析 和 认识 计算 机 网 络 的 理论 
基础 。 


1.1 计算 机 网 络 的 形成 和 发 展 


1， 早期 的 计算 机 网 络 


自从 有 了 计算 机 ， 就 有 了 计算 机 技术 与 通信 技术 的 结合 。 早 在 1951 年 ， 美 国 麻 省 理工 学 院 林 
青 实验 室 就 开始 为 美国 室 军 设计 称 为 SAGE 的 半自动 化 地 面 防空 系统 ， 该 系统 最 终于 1963 年 
建成 ， 被 认为 是 计算 机 和 通信 技术 结合 的 先驱 。 

计算 机 通信 技术 应 用 于 民用 系统 方面 最 早 的 当 数 美国 航 室 公 司 与 TBM 公司 在 20 世纪 50 
年 代 初 开始 联合 研究 、60 年 代 初 投入 使 用 的 飞机 订 票 系统 SABRE-I。 美国 通用 电气 公司 的 信息 
服务 系统 则 是 世界 上 最 大 的 商用 数据 处 理 网 络 ， 其 地 理 范围 从 美国 本 十 延伸 到 欧洲 、 澳 洲 和 亚 
洲 的 日 本 。 该 系统 于 1968 年 投入 运行 ， 具 有 交互 式 处 理 和 批 处 理 能 力 ， 由 于 地 理 范围 大 ， 可 
以 利用 时 差 达到 资源 的 充分 利用 。 

在 这 一 类 早期 的 计算 机 通信 网 络 中 ， 为 了 提高 通信 线路 的 利用 率 并 减 经 主机 的 负担 ,已 经 
使 用 了 多 点 通信 线路 、 终 端 集中 器 以 及 前 端 处 理 机 等 现代 通信 技术 。 这 些 技术 对 以 后 计算 机 网 
络 的 发 展 有 着 深刻 的 影响 。 以 多 点 线路 连接 的 终端 和 主机 问 的 通信 建立 过 程 ， 可 以 用 主机 对 各 
终端 轮 询 或 是 由 各 终端 连接 成 难 菠 链 的 形式 实现 。 考 虑 到 远程 通信 的 特殊 情况 ， 对 传输 的 信息 
还 要 按照 一 定 的 通信 规程 进行 特别 的 处 理 。 

2。 现代 计算 机 网 络 的 发 展 

20 世纪 60 年 代 中 期 出 现 了 大 型 主机 ， 同 时 也 出 现 了 对 大 型 主机 资源 远程 共享 的 要 求 。 以 


程控 交换 为 特征 的 电信 技术 的 发 展 则 为 这 种 远程 通信 需求 提供 了 实现 的 手段 。 现 代 意义 上 的 计 
算 机 网 络 是 从 1969 年 美国 国防 部 高 级 研究 计划 局 (DARPA) 建成 的 ARPAnet 实验 网 开始 的 。 
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该 网 络 当时 只 有 4 个 节点 ， 以 电话 线路 作为 主干 通信 网 络 ， 两 年 后 ， 建 成 15 个 节点 ， 进 入 工作 阶 
段 。 此 后 ，ARPAnet 的 规模 不 断 扩大 。 到 了 20 世纪 70 年 代 后 期 ， 网 络 节点 超过 60 个 ， 主 机 
100 多 台 ， 地 理 范 围 跨越 了 美洲 大 陆 ， 连 通 了 美国 东部 和 西部 的 许多 大 学 和 研究 机 构 ， 而 且 通 
过 通信 卫星 与 夏 威 更 和 欧洲 地 区 的 计算 机 网 络 相互 连通 。 

ARPAnet 的 主要 特点 如 下 。 

(1) 资源 共享 ; 

(2) 分 散 控制 ; 

(3) 分 组 交换 ; 

(4) 采用 专门 的 通信 控制 处 理 机 ; 

(5) 分 层 的 网 络 协 议 。 

这 些 特点 被 认为 是 现代 计算 机 网 络 的 一 般 特征 。 

20 世纪 70 年 代 中 后 期 是 广 域 通信 网 大 发 展 的 时 期 。 各 发 达 国家 的 政府 部 门 、 研 究 机 构 和 
电报 电话 公司 都 在 发 展 分 组 交换 网 络 。 例 如 ， 英 国 邮政 局 的 EPSS 公用 分 组 交换 网 络 (1973)、 
法 国信 息 与 自动 化 研究 所 (IRIA) 的 CYCLADES 分 布 式 数据 处 理 网 络 (1975)、 加 拿 大 的 DATAPAC 
公用 分 组 交换 网 (1976〉 以 及 日 本 电报 电话 公司 的 DDX-3 公用 数据 网 (1979) 等 。 这 些 网 络 
都 以 实现 计算 机 之 间 的 远程 数据 传输 和 信息 共享 为 主要 目的 ， 通 信 线 路 大 多 采用 租用 电话 线 
路 ， 少 数 铺设 专用 线路 ， 数 据 传 输 速率 在 50Kbps 左右 。 这 一 时 期 的 网 络 被 称 为 第 二 代 网 络 ， 
以 远程 大 规模 互 连 为 其 主要 特点 。 


3. 计算 机 网 络 标准 化 阶段 


经 过 20 世纪 六 七 十 年 代 前 期 的 发 展 ， 人 们 对 组 网 的 技术 、 方 法 和 理论 的 研究 日 趋 成 熟 。 
为 了 促进 网 络 产品 的 开发 ， 各 大 计算 机 公司 纷纷 制定 自己 的 网 络 技术 标准 。IBM 首先 于 1974 
年 推出 了 该 公司 的 系统 网 络 体系 结构 (System Network Architecture，SNA)， 为 用 户 提供 能 够 互 
连 互通 的 成 套 通信 产品 ，1975 年 ，DEC 公司 宣布 了 自己 的 数字 网 络 体系 结构 (Digital Network 
Architecture, DNA); 1976 年 , UNIVAC 宣布 了 该 公司 的 分 布 式 通信 体系 结构 (Distributed Communi- 
cation Architecture)。 这 些 网 络 技术 标准 只 是 在 一 个 公司 范围 内 有 效 ， 遵 从 某 种 标准 的 、 能 够 互 
连 的 网 络 通信 产品 ， 只 是 同一 公司 生产 的 同 构 型 设备 。 网 络 通信 市 场 这 种 各 自 为 政 的 状况 使 得 
用 户 在 投资 方向 上 无 所 适 从 , 也 不 利于 多 厂商 之 间 的 公平 竞争 。 1977 年 , 国际 标准 化 组 织 (ISO) 
的 TC97 信息 处 理 系 统 技术 委员 会 SC16 分 技术 委员 会 开始 着 手 制定 开放 系统 互 连 参考 模型 
OSIRM。 作 为 国际 标准 ，OSI 规定 了 可 以 互 连 的 计算 机 系统 之 间 的 通信 协议 , 遵从 OSI 协议 的 
网 络 通信 产品 都 是 所 谓 的 “开放 系统 ”。 今 天 ， 几 乎 所 有 的 网 络 产品 厂商 都 声称 自己 的 产品 是 
开放 系统 ， 不 遵从 国际 标准 的 产品 逐渐 失去 了 市 场 。 这 种 统一 的 、 标 准 化 产品 互相 竞争 的 市 场 
进一步 促进 了 网 络 技术 的 发 展 。 
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4. 微型 机 局 域 网 的 发 展 时 期 


20 世纪 80 年 代 初 期 出 现 了 微型 计算 机 ， 这 种 更 适合 办 公 室 环境 和 家 庭 使 用 的 新 机 种 对 社 
会 生活 的 各 个 方面 都 产生 了 深刻 的 影响 。1972 年 ，Xerox 公司 发 明了 以 太 网 ， 以 太 网 与 微型 机 
的 结合 使 得 微型 机 局 域 网 得 到 了 快速 的 发 展 。 在 一 个 单位 内 部 的 微型 计算 机 和 智能 设备 互相 连 
接 起 来 , 提供 了 办 公 自 动 化 的 环境 和 信息 共享 的 平台 。1980 年 2 月 , IEEE 组 织 了 一 个 802 委员 会 ， 
始 制定 局 域 网 标准 。 局 域 网 的 发 展 道路 不 同 于 广域网 ， 局 域 网 厂商 从 一 开始 就 按照 标准 化 、 互 
相 兼 容 的 方式 展开 竞争 。 用 户 在 建设 自己 的 局 域 网 时 选择 面 更 宽 ， 设 备 更 新 更 快 。 


S. 国际 因特网 的 发 展 时 期 


1985 年 ， 美 国 国家 科学 基金 会 (National Science Foundation，NSF) 利用 ARPAnet 协议 建 
立 了 用 于 科学 研究 和 教育 的 骨干 网 络 NSFnet。1990 年 ， NSFnet 代替 ARPAnet 成 为 美国 国家 骨 
干 网 ， 并 且 走 出 了 大 学 和 研究 机 构 进入 社会 。 从 此 ， 网 上 的 电子 邮件 、 文 件 下 载 和 消息 传输 受 
到 越 来 越 多 人 的 欢迎 并 被 广泛 使 用 。1992 年 ，Internet 学 会 成 立 ， 该 学 会 把 Intemet 定义 为 “组 
织 松 散 的 、 独立 的 国际 合作 互联 网 络 ”“ 通 过 自主 遵守 计算 协议 和 过 程 支 持 主机 对 主机 的 通信 ”。 
1993 年 ， 美 国 伊利 诺 斯 大 学 国家 超级 计算 中 心 开发 成 功 了 网 上 浏览 工具 Mosaic〔〈 后 来 发 展 成 
Netscape)， 使 得 各 种 信息 都 可 以 方便 地 在 网 上 交流 。 浏 览 工具 的 实现 引发 了 Intemet 发 展 和 普 
及 的 高 潮 。 上 网 不 再 是 网 络 操作 人 员 和 科学 研究 人 员 的 专利 ， 而 成 为 一 般 人 进行 远程 通信 和 交 
流 的 工具 。 在 这 种 形势 下 ， 美 国 总 统 克林顿 于 1993 年 宣布 正式 实施 国家 信息 基础 设施 (National 
Information Infrastructure，NIT》 计划 ， 从 此 在 世界 范围 内 展开 了 争夺 信息 化 社会 领导 权 和 制 高 
点 的 竞争 。 与 此 同时 ，NSF 不 再 向 Internet 注入 资金 ， 使 其 完全 进入 商业 化 运作 。 到 了 20 世纪 
90 年 代 后 期 ，Internet 以 惊人 的 高 速度 发 展 ， 网 上 的 主机 数量 、 上 网 人 数 、 网 络 的 信息 流量 每 
年 都 在 成 倍 地 增长 。 


1.2 计算 机 网 络 的 分 类 和 应 用 


1.2.1 计算 机 网 络 的 分 类 


“计算 机 网 络 ” 这 一 术语 是 指 由 通信 线路 互相 连接 的 许多 自主 工作 的 计算 机 构成 的 集合 体 。 
这 里 强调 构成 网 络 的 计算 机 是 自主 工作 的 ， 这 是 为 了 和 多 终端 分 时 系统 相 区 别 。 在 后 一 种 系统 
中 ， 终 端 无 论 是 本 地 的 还 是 远程 的 ， 只 是 主机 和 用 户 之 间 的 接口 ， 它 本 身 并 不 拥有 计算 资源 ， 
全 部 资源 集中 在 主机 中 。 主 机 以 自己 拥有 的 资源 分 时 地 为 各 终端 用 户 服务 。 在 计算 机 网 络 中 的 
各 个 计算 机 工作 站 〉 本 身 拥有 计算 资源 ， 能 独立 工作 ， 能 完成 一 定 的 计算 任务 。 同 时 ， 用 户 
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还 可 以 共享 网 络 中 其 他 计算 机 的 资源 CPU、 大 容量 外 存 或 信息 等 )。 

比 计算 机 网 络 更 高 级 的 系统 是 分 布 式 系统 。 分布 式 系统 在 计算 机 网 络 基础 上 为 用 户 提供 了 
透明 的 集成 应 用 环境 。 用 户 可 以 用 名 字 或 命令 调用 网 络 中 的 任何 资源 或 进行 远程 的 数据 处 理 ， 
不 必 考 虑 这 些 资 源 或 数据 的 地 理 位 置 。 

与 计算 机 网 络 类 似 的 另 一 种 系统 是 多 机 系统 。 多 机 系统 专 指 同一 机 房 中 的 许多 大 型 主机 互 
连 组 成 的 功能 强大 、 能 高 速 并 行 处 理 的 计算 机 系统 。 对 这 种 系统 互 连 的 要 求 是 高 带宽 和 连通 的 
多 样 性 。 计 算 机 网 络 中 的 信息 传输 开销 很 大 ， 实 际 的 有 效 数据 速率 比 通信 线路 能 够 提供 的 带宽 
要 小 得 多 。 同 时 ， 由 于 距离 的 原因 ， 在 计算 机 网 络 终端 系统 是 通过 交换 设备 互 连 的 ， 这 种 有 限 
互 连 的 方式 不 能 适应 高 速 并 行 计算 的 要 求 。 

计算 机 网 络 的 组 成 元 素 可 以 分 为 两 大 类 ， 即 网 络 节点 和 通信 链 路 。 网 络 节点 又 分 为 端 节 点 
和 转发 节点 。 端 节点 指 信 源 和 信 宿 节点 ， 例 如 用 户主 机 和 用 户 终端 ;转发 节点 指 网 络 通信 过 程 
中 控制 和 转发 信息 的 节点 ， 例 如 交换 机 、 集 线 器 、 接 口 信息 处 理 机 等 。 通 信 链 路 是 指 传输 信息 
的 信道 ， 可 以 是 电话 线 、 同 轴 电 缆 、 无 线 电线 路 、 卫 星 线路 、 微 波 中 继 线路 和 光纤 线 线 等 。 网 
络 节点 通过 通信 链 路 连接 成 的 计算 机 网 络 如 图 1-1 所 示 。 


图 1-1 通信 子 网 与 资源 子 网 


在 图 1-1 中 ， 虚 线 框 外 的 部 分 称 为 资源 子 网 。 资 源 子 网 中 包括 拥有 资源 的 用 户主 机 和 请 求 
资源 的 用 户 终端 ， 它 们 都 是 端 节 点 。 虚 线 框 内 的 部 分 叫 作 通信 子 网 ， 其 任务 是 在 端 节点 之 间 传 
送 由 信息 组 成 的 报 文 ， 主 要 由 转发 节点 和 通信 链 路 组 成 。 在 图 1-1 中 ， 按 照 ARPA 网 络 的 术语 
把 转发 节点 统称 为 接口 信息 处 理 机 (Interface Message Processor，IMP)。IMP 是 一 种 专用 于 通 
信 的 计算 机 ， 有 些 IMP 之 间 直 接 相连 ， 有 些 IMP 之 间 必 须 经 过 其 他 IMP 才能 相连 。 当 IMP 收 
到 一 个 报 文 后 要 根据 报 文 的 目标 地 址 决定 把 该 报 文 提 交 给 与 它 相连 的 主机 还 是 转发 到 下 一 个 
IJMP， 这 种 通信 方式 叫 作 存储 -转发 通信 。 在 广域网 中 的 通信 一 般 都 采用 这 种 方式 。 另 外 一 种 通 
信 方 式 是 广播 通信 方式 ， 主 要 用 于 局 域 网 中 。 局 域 网 中 的 IMP 简化 为 一 个 微 处 理 器 芯片 ， 每 台 
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主机 或 工作 站 中 都 设置 一 个 IMP。 在 广播 通信 系统 中 ， 唯 一 的 信道 为 所 有 主机 所 共享 ， 任 何 主 
机 发 出 的 信息 所 有 主机 都 能 收 到 。 信 息 包 中 的 目标 地 址 则 指明 特定 的 接收 站 。 在 需要 时 可 以 用 
一 个 特殊 的 目标 地 址 (例如 全 1 地 址 ) 表示 该 信息 包 是 发 给 所 有 站 的 ， 这 叫 作 多 目标 发 送 。 

通信 子 网 中 转发 节点 的 互 连 模式 叫 作 子 网 的 拓扑 结构 。 图 1-2 中 列 出 了 可 能 有 的 几 种 拓扑 
结构 ， 其 中 全 连接 型 对 于 点 对 点 的 通信 是 最 理想 的 ， 但 由 于 连接 数 接近 节点 数 的 平方 倍 ， 所 以 
实际 上 是 行 不 通 的 。 在 广域网 中 常见 的 互 连 拓扑 是 树 型 和 不 规则 型 ,而 在 局 域 网 中 则 常用 星 型 、 
环 型 、 总 线 型 等 规则 型 拓扑 结构 。 


Eo 


口 


| 


i 
(Cb) 环 型 (ce) 树 型 
虽 
日 日 日 日 日 
tTTTT g 
(d) 全 连接 型 (e) 总 线 型 《9 不 规则 型 


图 1-2 网 络 的 拓扑 结构 


可 以 按照 不 同 的 方法 对 计算 机 网 络 进行 分 类 。 按 照 互 连 规模 和 通信 方式 ， 可 以 把 网 络 分 为 
局 域 网 (LAN)、 城 域 网 (MAN) 和 广域网 C(WAN)， 这 3 种 网 络 的 比较 如 表 1-1 所 示 。 


表 1-1 LAN、MAN 和 WAN 的 比较 
局 域 网 城 域 网 


广 域 网 


地 理 范围 室内 ， 校 园 内 部 建筑 物 之 间 ， 城 区 内 内 ， 国 际 

所 有 者 和 运营 者 | 单位 所 有 和 运营 几 个 单位 共有 或 公用 通信 运营 公司 所 有 
互联 和 通信 方式 “| 共享 介质 ， 分 组 广播 共享 介质 ， 分 组 广播 共享 介质 ， 分 组 交换 
数据 速率 每 秒 几 十 兆 位 每 秒 几 兆 位 每 秒 儿 十 二 位 


至 每 秒 几 百 兆 位 至 每 秒 几 十 兆 位 
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续 表 
广域网 
误 码 率 | 较 大 
拓扑 结构 ni 不 规则 的 网 状 结构 
上 理 
主要 应 用 分 布下 到 指针 远程 数据 传输 


办 公 自 动 化 


按照 使 用 方式 可 以 把 计算 机 网 络 分 为 校园 网 (Campus Network) 和 企业 网 (Enterprise 
Network), 前 者 用 于 学 校内 部 的 教学 科研 信息 的 交换 和 共享 , 后 者 用 于 企业 管理 和 办 公 自 动 化 。 
一 个 校园 网 或 企业 网 可 以 由 内 联网 (Intranet) 和 外 联网 (Extranet) 组 成 。 内 联网 是 采用 Intemet 
技术 (TCP/IP 协议 和 B/S 结构 ) 建立 的 校园 网 或 企业 网 ， 用 防火 墙 限制 与 外 部 的 信息 交换 ， 以 
确保 内 部 的 信息 安全 。 外 联网 是 校园 网 或 企业 网 的 一 部 分 , 通过 Intemet 上 的 安全 通道 与 内 部 网 
进行 通信 。 按 照 网 络 服务 的 范围 可 以 把 网 络 分 为 公用 网 与 专用 网 。 公 用 网 是 通信 公司 建立 和 经 
营 的 网 络 ， 向 社会 提供 有 偿 的 通信 和 信息 服务 。 专 用 网 一 般 是 建立 在 公用 网 上 的 虚拟 网 络 ， 仅 
限于 一 定 范围 的 用 户 之 间 的 通信 ， 或 者 对 一 定 范 围 的 通信 设备 实施 特殊 的 管理 。 网 络 按照 提供 
的 服务 可 以 分 为 通信 网 和 信息 网 。 通 信 网 提供 远程 连 网 服务 ， 各 种 校园 网 和 企业 网 通过 远程 连 
接 形成 nternet， 提 供 互 连 服务 的 供应 商 叫 作 ISP (Intermet Service Provider)。 信 息 网 提供 Web 
信息 浏览 、 文 件 下 载 和 电子 邮件 传送 等 信息 服务 , 提供 网 络 信息 服务 的 供应 商 叫 作 ICP (Internet 


Content Provider ) 。 


1.2.2 计算 机 网 络 的 应 用 


计算 机 网 络 的 应 用 涉及 社会 生活 的 各 个 方面 。 当 前 对 经 济 和 文化 生活 影响 最 大 的 网 络 应 用 
列举 如 下 。 

(1) 办 公 自 动 化 。 网 络 化 办 公 系 统 的 主要 功能 是 实现 信息 共享 和 公文 流转 。 其 功能 包括 领 
导 办 公 、 电 子 签名 、 公 文 处 理 、 日 程 安排 、 会 议 管理 、 档 案 管 理 、 财 务 报销 、 信 访 管理 、 信 息 
发 布 和 全 文 检索 等 模块 ， 以 解决 各 种 类 型 的 无 纸 化 办 公 问 题 。 这 种 系统 应 该 简单 、 可 靠 、 安 全 、 
易 用 、 容 易 安 装 和 普遍 适用 。 在 目前 大 力 推广 政府 上 网 、 企 业 上 网 的 情况 下 ， 办 公 软 件 具 有 越 
来 越 广阔 的 应 用 环境 。 但 是 ， 现 在 的 大 多 数 办 公 产 品 只 能 实现 部 分 功能 ， 集 成 性 较 差 。 形 成 这 
种 状况 的 主要 原因 是 没有 统一 的 标准 和 规范 ， 产 品 之 间 缺 乏 兼容 性 ， 难 以 形成 整体 产业 

(2) 电子 数据 交换 。 电 子 数据 交换 (Electronic Data Interchange，EDI) 是 一 种 新 型 的 电子 
贸易 工具 ， 是 计算 机 、 通 信和 现代 管理 技术 相 结合 的 产物 。 它 通过 计算 机 通信 网 络 将 贸易 、 运 
输 、 保 险 、 银 行 和 海关 等 行业 信息 表现 为 国际 公信 的 标准 格式 ， 实 现 公司 之 间 的 数据 交换 和 处 
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理 ， 并 完成 以 贸易 为 中 心 的 整个 交易 过 程 。 由 于 使 用 EDI 可 以 减少 甚至 消除 贸易 过 程 中 的 纸 质 
文件 ， 因 此 又 被 通俗 地 称 为 “无 纸 贸易 ”EDI 传输 的 文件 具有 跟踪 、 确认 、 防 算 改 、 防 冒 领 功 
能 ， 以 及 一 系列 安全 保密 功能 ， 并 具有 法 律 效力 。 中 国 公用 电子 数据 交换 业务 网 (CHINAEDI) 
是 面向 社会 各 行业 开放 的 公用 EDI 网 络 ， 其 应 用 范围 涉及 电子 报关 、 电 子 报税 、 银 行 托 收 、 港 
口 集装箱 运输 和 铁路 货运 ， 以 及 制造 业 和 商业 订单 的 处 理 等 。 

(3) 远程 教育 。 远 程 网 络 教学 是 利用 因特网 技术 ， 与 教育 资源 相 结合 ， 在 计算 机 网 络 上 进 
行 的 教学 方式 。 通 过 网 络 进行 教育 最 明显 的 优势 是 可 以 使 有 限 的 教育 资源 成 为 近乎 无 限 的 、 不 
受 时 空 和 资金 限制 的 、 人 人 可 以 享受 的 全 民 教 育 资源 。 网 络 教学 利用 现代 通信 技术 实施 远程 交 
互 作用 ， 学 习 者 可 以 与 远 地 的 教师 通过 电子 邮件 、BBS 等 建立 交互 联系 ， 学 员 之 间 也 可 进行 类 
似 的 交流 和 互助 学 习 。 网 络 教学 可 采用 多 种 多 样 的 教学 形式 ， 可 以 进行 个 别 化 教学 ， 也 可 以 进 
行 小 组 协作 学 习 ， 还 可 以 接受 远程 广播 教育 。 

(4) 电子 银行 。 电 子 银行 是 一 种 在 线 服务 系统 ， 它 以 因特网 为 媒介 ， 为 客户 提供 银行 账户 
信息 查询 、 转 账 付款 、 在 线 支付 和 代理 业务 等 自助 金融 服务 。 这 种 系统 需要 采用 高 强度 加 密 算 
法 ， 客 户 的 资料 和 信用 卡 信息 才 不 会 被 外 界 获取 。 电 子 银行 的 出 现 标志 着 人 类 的 交换 方式 已 经 
从 物 物 交换 、 货 币 交 换 发 展 到 了 信息 交换 的 新 阶段 。 一 般 商 业 银行 开办 的 网 上 银行 都 提供 信用 
卡 账 务 信息 查询 、 转 账 、 基 金 业务 、 外 汇 买卖 、 在 线 支 付 、 异 地 汇款 、 代 缴 各 种 费用 以 及 个 人 
理财 等 金融 服务 。 

(5) 证 券 和 期 货 交易 。 证 券 和 期 货 交 易 是 一 种 高 利润 、 高 风险 的 投资 方式 ， 由 于 行情 变化 
很 快 ， 所 以 投资 者 更 加 依赖 于 及 时 准确 的 交易 信息 。 证 券 和 期 货 市 场 通过 计算 机 网 络 提供 行情 
分 析 和 预测 、 资 金管 理 和 投资 计划 等 服务 。 还 可 以 通过 无 线 网 络 将 各 机 构 相 连 ， 利 用 手持 通信 
设备 输入 交易 信息 ， 通 过 无 线 网 络 迅速 传递 到 计算 机 、 报 价 服务 系统 和 交易 大 厅 的 显示 板 。 管 
理 员 、 经 纪 人 和 交易 者 也 可 以 迅速 利用 手持 通信 设备 直接 进行 交易 ， 避 免 了 由 于 时 间 延 误 所 造 
成 的 损失 。 

(6) 娱乐 和 在 线 游戏 。 随 着 宽带 通信 与 视频 演播 的 快速 发 展 ， 网 络 在 线 游戏 正在 逐步 成 为 
因特网 娱乐 的 重要 组 成 部 分 ， 也 是 互联 网 最 富 群 众 性 和 最 有 潜力 的 赢利 点 。 一 般 而 言 ， 计 算 机 
游戏 可 以 分 为 3 类 : 完全 不 具备 联网 功能 的 单机 游戏 、 具 备 局 域 网 联网 功能 的 多 人 联网 游戏 以 
及 基于 因特网 的 多 用 户 游戏 。 最 后 一 种 游戏 有 大 型 的 客户 端 软件 和 复杂 的 后 台 服 务 器 系统 。 目 
前 世界 各 地 大 批 的 网 络 游戏 犹如 雨后春笋 般 涌 现 出 来 ， 已 经 成 为 网 络 经 济 新 的 增长 点 。 


1.3 我国 互联 网 的 发 展 


我 国 互联 网 的 发 展 始 于 20 世纪 80 年 代 末 。1987 年 9 月 20 日 ， 钱 天 白 教授 通过 意大利 公 
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用 分 组 交换 网 TTAPAC 设 在 北京 的 PAD 发 出 我 国 的 第 一 封 电子 邮件 , 与 德国 卡尔 斯 鲁 厄 大 学 进 
行 通信 ， 揭 开 了 中 国人 使 用 Intemet 的 序幕 。 

1989 年 9 月 ， 国 家 计 委 组 织 建 立 中 关 村 地 区 教育 与 科研 示范 网 络 (NCFC)。 立 项 的 主要 目标 
是 在 北京 大 学 、 清 华 大 学 和 中 科 院 3 个 单位 间 建 设 高 速 互联 网 络 ， 并 建立 一 个 超级 计算 中 心 ， 
这 个 项 目 于 1992 年 建设 完成 。 

1990 年 10 月 ， 中 国正 式 在 DDN-NIC 注册 登记 了 我 国 的 项 级 域名 CN。1993 年 4 月， 中国 
科学 院 计算 机 网 络 信息 中 心 召集 部 分 网 络 专家 调查 了 各 国 的 域名 系统 ， 据 此 提出 了 我 国 的 域名 

1994 年 1 月 4 日 ，NCFC 工程 通过 美国 Sprint 公司 连 入 Intemet 的 64k 国际 专线 开通 ， 实 
现 了 与 nternet 的 全 功能 连接 ， 从 此 我 国正 式 成 为 有 Internet 的 国家 。 此 事 被 国家 统计 公报 列 为 
1994 年 重大 科技 成 就 之 一 。 

从 1994 年 开始 ， 分 别 由 国家 计 委 、 邮 电 部 、 国 教 教委 和 中 科 院 主持 ， 建 成 了 我 国 的 四 大 因 特 
网 ， 即 中 国 金桥 信息 网 、 中 国 公 用 计算 机 互联 网 、 中 国教 育 科 研 网 和 中 国 科 技 网 。 在 短 短 几 年 
间 ， 这 些 主干 网 络 就 投入 使 用 ， 形 成 了 国家 主干 网 的 基础 。 

1996 年 以 后 , 我 国 互联 网 的 发 展 进入 应 用 平台 建设 和 增值 业务 开发 阶段 。 中 国 互联 网 进入 
了 空前 活跃 的 高 速 发 展 时 期 。 一 大 批 中 文 网 站 ， 包 括 综合 性 的 “门户 ”网 站 和 各 种 专业 性 的 网 
站 纷纷 出 现 ， 提 供 新 闻 报 道 、 技 术 咨询 、 软 件 下 载 和 休闲 娱乐 等 ICP 服务 ， 以 及 虚拟 主机 、 域 
名 注册 、 免 费 空间 等 技术 支持 服务 。 与 此 同时 ， 各 种 增值 服务 也 逐步 展开 ， 其 中 主要 有 电子 商 
务 、IP 电话 、 视 频 点 播 和 无 线 上 网 等 。 在 互联 网 的 应 用 面 扩 宽 和 普及 率 快速 增长 的 前 提 下 ， 一 
些 中 国 互联 网 公司 开始 进军 海外 股市 纳 斯 达 克 ， 成 为 世纪 之 交 中 国 新 经 济 发 展 的 重要 标志 。 

1997 年 6 月 3 日 , 根据 国务 院 信息 化 工作 领导 小 组 办 公 室 的 决定 , 中 国 科学 院 网 络 信息 中 
心 组 建 了 中 国 互联 网 络 信息 中 心 CCNNIC)， 同 时 ， 国 务 院 信息 化 工作 领导 小 组 办 公 室 宣 布 成 
立 中 国 互 联网 络 信息 中 心 工作 委员 会 。 

1997 年 11 月 ，CNNIC 发 布 了 第 1 次 《中 国 Intermet 发 展 状 况 统计 报告 》。 截 止 到 1997 年 
10 月 31 日 ， 我 国共 有 上 网 计算 机 29.9 万 台 ， 上 网 用 户 62 万 人 ，CN 下 注册 的 域名 4066 个 ， 
WWW 站 点 1500 个 ， 国 际 出 口 带 宽 为 18.64Mbps。 

2017 年 1 月 22 日 下 午 ， 中 国 互联 网 络 信息 中 心 (CNNIC) 发 布 第 39 次 《中 国 互联 网 络 
发 展 状况 统计 报告 》。 截 至 2016 年 12 月 ， 中 国 网 民 规 模 达 7.31 亿 ， 相 当 于 欧洲 人 口 总 量 ， 互 
联网 普及 率 达 到 53.2%， 超 过 全 球 平均 水 平 3.1 个 百分点 ， 超 过 亚洲 平均 水 平 7.6 个 百分点 。 截 
至 2016 年 12 月 , 我 国手 机 网 民 规模 达 6.95 亿 ， 增 长 率 连续 三 年 超过 10%。 人 台式 电脑 、 笔 记 本 
电脑 的 使 用 率 均 出 现下 降 ， 手 机 不 断 挤占 其 他 个 人 上 网 设备 的 使 用 。 
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1.4 计算 机 网 络 体系 结构 


计算 机 网 络 发 展 到 今天 ， 已 经 演变 成 一 种 复杂 而 庞大 的 系统 。 在 计算 机 专业 人 员 中 ， 对 付 
这 种 复杂 系统 的 常规 方法 就 是 把 系统 组 织 成 分 层 的 体系 结构 ， 即 把 很 多 相关 的 功能 分 解 开 来 ， 
逐个 予以 解释 和 实现 。 读 者 以 后 会 看 到 ， 在 分 层 的 体系 结构 中 ， 每 一 层 都 是 一 些 明确 定义 的 相 
互 作用 的 集合 ， 即 对 等 协议 ， 层 之 间 的 界限 是 另外 一 些 相互 作用 的 集合 ， 称 为 做 接口 协议 。 下 
面 首先 通过 一 个 简单 的 例子 说 明 计 算 机 网 络 应 该 提供 的 各 种 功能 。 


1.4.1 计算 机 网 络 的 功能 特性 


研究 计算 机 网 络 的 基本 方法 是 全 面 深入 地 了 解 计算 机 网 络 的 功能 特性 ， 即 计算 机 网 络 是 怎 
样 在 两 个 端 用 户 之 间 提供 访问 通路 的 。 理 解 了 计算 机 网 络 的 功能 特性 才能 够 掌握 各 种 网 络 的 特 
点 ， 才 能 了 解 网 络 运行 的 原理 。 

首先 ， 计 算 机 网 络 应 该 在 源 节点 和 目标 节点 之 间 提供 传输 线路 ， 这 种 传输 线路 可 能 要 经 过 
一 些 中间 节 点 。 如 果 是 远程 联网 ， 则 要 通过 电信 公司 提供 的 公用 通信 线路 ， 这 些 通信 线路 可 能 
是 地 面 链 路 ， 也 可 能 是 卫星 链 路 。 如 果 电 信 公 司 提供 的 通信 线路 是 模拟 的 ， 还 必须 用 Modem 
进行 信号 变换 ， 因 而 网 络 应 该 提供 与 Modem 的 物理 的 和 电气 的 接口 。 

计算 机 通信 有 一 个 特点 ， 即 间 吹 性 或 突 发 性 。 人 们 打 电 话 时 信息 流 是 平稳 而 连续 的 ， 速 率 
也 不 太 高 。 然 而 计算 机 之 间 的 通信 不 是 这 样 。 当 用 户 坐 在 终端 前 思考 时 , 线路 中 没有 信息 流 过 。 
当 用 户 发 出 文件 传输 命令 时 ， 突 然 来 到 的 数据 需要 迅速 地 发 送 ， 然 后 又 沉默 一 段 时 间 。 因 而 计 
算 机 之 间 的 通信 和 链 路 要 有 较 高 的 带宽 ， 同 时 由 许多 节点 共享 高 速 线路 ， 以 获得 合理 经 济 的 使 用 
效率 。 计 算 机 网 络 的 设计 者 发 明了 一 些 新 的 交换 技术 来 满足 这 种 特殊 的 通信 要 求 ， 例 如 报 文 交 
换 和 分 组 交换 技术 。 计 算 机 网 络 的 功能 之 一 是 对 传输 的 信息 流 进 行 分 组 ， 加 入 控制 信息 ， 并 把 
分 组 正确 地 传送 到 目的 地 。 

加 入 分 组 的 控制 信息 主要 有 两 种 : 一 种 是 接收 端 用 于 验证 是 否 正确 接收 的 差错 控制 信息 ; 
另 一 种 是 指明 数据 包 的 发 送 端 和 接收 端的 地 址 信息 。 因 而 ， 网 络 必须 具有 差错 控制 功能 和 寻 址 
功能 。 另 外 ， 当 多 个 节点 同时 要 求 发 送 分 组 时 ， 网 络 还 必须 通过 某 种 冲突 仲裁 过 程 决定 谁 先 发 
送 ， 谁 后 发 送 。 所 有 这 些 带 有 控制 信息 的 数据 包 在 网 络 中 通过 一 个 个 节点 正确 地 向 前 传送 的 功 
能 叫 作 数据 链 路 控制 (Data Link Control，DLC) 功能 。 

关于 寻 址 功能 ， 还 有 更 复杂 的 一 面 。 如 果 网 络 有 多 个 转发 节点 ， 则 当 转 发 节点 收 到 数据 包 
时 必须 确定 下 一 个 转发 的 对 象 ， 因 此 每 一 个 转发 节点 都 要 有 根据 网 络 配置 和 交通 情况 决定 路 由 
的 能 力 。 
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复杂 网 络 中 的 通信 类 似 于 道路 系统 中 的 交通 情况 ， 弄 得 不 好 会 导致 交通 拥挤 、 阻 塞 ， 甚 至 
完全 瘫痪 ， 所 以 计算 机 网 络 要 有 流量 控制 和 拥塞 控制 功能 。 当 网 络 中 的 通信 量 达 到 一 定 程度 时 
必须 限制 进入 网 络 中 的 分 组 数 ， 以 免 造 成 死 锁 。 万 一 交通 完全 阻塞 ， 也 要 有 解除 阻塞 的 办 法 。 

两 个 用 户 通过 计算 机 网 络 会 话 时 ， 不 仅 开 始 时 要 有 会 话 建 立 的 过 程 ， 结 束 时 还 要 有 会 话 终 
止 的 过 程 。 同 时 它们 之 间 的 双向 通信 也 需要 进行 管理 ， 以 确定 什么 时 候 该 谁 说 ， 什 么 时 候 该 谁 
昕 。 一 旦 发 生 差错 ， 该 从 哪儿 说 起 。 

最 后 ， 通 信 双 方 可 能 各 有 一 些 特殊 性 需要 统一 ， 才 能 彼此 理解 。 例 如 ， 用 户 使 用 的 终端 不 
同 ， 字 符 集 和 数据 格式 各 异 ， 甚 至 它们 之 间 还 可 能 使 用 某 种 安全 保密 措施 ， 这 些 都 需要 规定 统 
一 的 协议 , 以 消除 不 同系 统 之 间 的 差别 。 这 样 ,才能 保证 用 户 使 用 计算 机 网 络 进行 正常 的 通信 。 

由 上 面 的 介绍 可 知 ， 网 络 中 的 通信 是 相当 复杂 的 ， 涉 及 一 系列 相互 作用 的 功能 过 程 。 用 户 
与 远 地 应 用 程序 通信 的 过 程 可 以 用 图 1-3 表示 ， 以 上 提 到 的 主要 功能 过 程 按 顺 序列 在 图 中 。 用 
户 输入 的 字符 流 按 标 准 协 议 进行 转换 ， 然 后 加 入 各 种 控制 位 和 顺序 号 用 于 进行 会 话 管理 ， 再 进 
行 分 组 ， 加 入 地 址 字段 和 校 验 字段 等 。 上 述 信 息 经 过 Modem 的 变换 ， 送 入 公共 载波 线路 传送 。 
在 接收 端 进行 相反 的 处 理 ， 就 可 得 到 发 送 的 信息 。 值 得 注意 的 是 ， 整 个 通信 过 程 经 过 这 样 的 功 
能 分 解 后 ， 得 到 的 功能 元 素 总 是 成 对 地 出 现 。 例 如 ， 一 对 Modem， 一 对 数据 链 路 控制 元 素 等 。 
每 一 对 功能 元 素 互 相通 信 ， 它 们 之 间 的 协议 不 涉及 相 邻 层次 的 功能 。 例 如 ， 一 对 Modem 之 间 的 对 
话 不 涉及 传输 线路 的 细节 ， 也 不 必 了 解 它 们 传输 的 比特 流 的 意义 。 而 数据 链 路 控制 功能 则 与 
Modem 的 调制 与 解 调 功能 无 关 ， 也 与 数据 帧 中 信息 字段 的 内 容 无 关 ，DLC 元 素 的 作用 只 是 把 
数据 帧 从 发 送 节点 正确 地 传送 到 接收 节点 。 这 样 , 把 一 对 功能 元 素 从 整个 功能 过 程 中 孤立 出 来 ， 


就 形成 了 分 层 的 体系 结构 。 
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图 1-3 用 户 与 应 用 程序 通信 的 过 程 


可 以 把 这 些 功 能 层 按 作用 范围 分 类 。Modem 和 数据 链 路 控制 功能 是 相 邻 节点 间 的 作用 , 与 
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同一 线路 上 的 其 他 节点 无 关 ; 协议 转换 、 会 话 管理 和 打包 / 拆 包 功能 涉及 一 对 端 节点 ， 与 端 节点 
之 间 的 转发 节点 无 关 。 然 而 ， 寻 址 和 路 由 功能 则 涉及 多 个 节点 ， 完 成 这 样 的 功能 要 考虑 到 网 络 
中 的 所 有 节点 ， 以 便 数 据 包 可 以 沿 着 一 条 最 佳 线路 逐个 节点 地 向 前 传送 ， 最 后 到 达 目 的 地 。 

也 可 以 从 另 一 个 角度 看 待 这 种 分 层 结构 ， 寻 址 一 路 由 一 数据 分 组 之 上 的 功能 层次 对 端 用 户 
隐藏 了 通信 网 络 的 细节 , 因而 这 些 功能 层次 叫 作 高 层 功能 , 它们 下 边 的 功能 层次 叫 作 低层 功能 。 
这 样 的 功能 分 解 与 图 1-1 中 把 整个 计算 机 网 络 划分 为 资源 子 网 和 通信 子 网 是 一 致 的 。 

以 上 功能 分 解 描绘 出 一 幅 规整 的 图 画 。 事 实 上 ， 情 况 远 不 是 如 此 简单 。 首 先 ， 有 些 功 能 会 
出 现在 一 个 以 上 的 层次 。 例 如 多 路 复 用 功能 ， 即 几 个 信息 流 交 叉 地 通过 同一 线路 的 功能 ， 会 
现在 数据 链 路 控制 过 程 中 ， 也 会 出 现在 公共 载波 传输 系统 中 。 其 次 ， 几 个 端 用 户 可 能 会 多 路 访 
问 同一 通路 ， 当 一 个 用 户 的 数据 包 从 端 节点 出 发 进入 更 下 面 的 功能 层次 时 ， 就 存在 选择 在 哪 一 
层 与 其 他 用 户 的 信息 流 合并 的 问题 。 

问题 的 复杂 性 还 在 于 同一 节点 中 的 层次 之 间 还 有 控制 信息 的 通信 。 例 如 在 一 个 中 间 节 点 
上 ， 路 由 功能 必须 给 DLC 功能 提供 地 址 ， 以 便 DLC 能 把 数据 包 转 发 到 适当 的 中 间 节 点 上 。 还 
需 指出 的 是 ， 有 些 功 能 层 可 能 很 简单 ， 甚 至 完全 没有 。 例 如 ， 在 局 域 网 中 就 不 需要 路 由 功能 ; 
对 于 租用 线路 ， 则 没有 物理 层 。 

用 “接口 ”来 描述 相 邻 层 之 间 的 相互 作用 。 在 两 个 相 邻 层 之 间 ， 下 层 为 上 层 提供 服务 ， 上 
层 利用 下 层 提供 的 服务 实现 规定 给 自己 的 功能 ， 这 种 服务 和 被 服务 的 关系 就 是 人 们 所 说 的 接口 
关系 。 例 如 ，Modem 和 DLC 之 间 必 须 按 规 定 的 电气 接口 相互 作用 ;用 户 程序 和 网 络 之 间 也 应 
规定 统一 的 接口 关系 ， 以 便于 程序 的 移植 。 

至 此 ， 已 引入 了 功能 层次 的 概念 。 对 等 层 之 间 按 规定 的 协议 通信 ， 相 邻 层 之 间 按 接口 关系 
提供 服务 和 接受 服务 。 把 实现 复杂 的 网 络 通信 过 程 的 各 种 功能 划分 成 这 样 的 层次 结构 ， 就 是 网 
络 的 分 层 体系 结构 。 


1.4.2 开放 系统 五 连 参考 模型 的 基本 概念 


所 谓 开放 系统 ， 是 指 遵 从 国际 标准 的 、 能 够 通过 互 连 而 相互 作用 的 系统 。 显 然 ， 系 统 之 间 
的 相互 作用 只 涉及 系统 的 外 部 行为 ， 与 系统 内 部 的 结构 和 功能 无 关 。 因 而 ， 关 于 互 连 系 统 的 任 
何 标 准 都 只 是 关于 系统 外 部 特性 的 规定 。1979 年 ，ISO 公布 了 开放 系统 互 连 参考 模型 (Open 
System Interconnection/Reference Model，OSLRM)。 同 时 ，CCITT (Consultative Committee of 
International Telegraph and Telephone) 认可 并 采纳 了 这 一 国际 标准 的 建议 文本 〈 称 为 X.200)。 
OSIRM 为 开放 系统 互 连 提供 了 一 种 功能 结构 的 框架 ，ISO 7498 文件 对 它 做 了 详细 的 规定 和 
描述 。 
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OSIRM 是 一 种 分 层 的 体系 结构 。 从 风 辑 功能 看 ， 每 一 个 开放 系统 都 是 由 一 些 连续 的 子 系 
统 组 成 ， 这 些 子 系统 处 于 各 个 开放 系统 和 分 层 的 交叉 点 上 ， 一 个 层次 由 所 有 互 连 系统 的 同一 行 
上 的 子 系统 组 成 ， 如 图 1-4 所 示 。 例 如 ， 每 一 个 互 连 系统 逻辑 上 是 由 物理 电路 控制 子 系统 、 分 
组 交换 子 系统 和 传输 控制 子 系统 等 组 成 ， 而 所 有 互 连 系统 中 的 传输 控制 子 系统 共同 形成 了 传 
输 层 。 


物理 传输 介质 


图 1-4 开放 系统 的 分 层 体 系 结构 


开放 系统 的 每 一 个 层次 由 一 些 实体 组 成 。 实 体 是 软件 元 素 ( 如 进程 等 ) 或 硬件 元 素 (如 智 
能 IO 芯片 等 ) 的 抽象 。 处 于 同一 层 中 的 实体 叫 对 等 实体 ， 一 个 层次 由 多 个 实体 组 成 ， 这 一 点 
正 说 明了 层次 的 分 布 处 理 特征 。 另 一 方面 ， 处 于 同一 开放 系统 中 各 个 层次 的 实体 则 代表 了 系统 
的 协议 处 理 能 力 ， 即 由 其 他 开放 系统 所 看 到 的 外 部 功能 特性 。 

为 了 叙述 上 的 方便 , 任何 层 都 可 以 称 为 (N) 层 , 它 的 上 下 邻 层 分 别称 为 (N+1) 层 和 CN-1) 
层 。 同 样 的 提 法 可 以 应 用 于 所 有 和 层次 有 关 的 概念 ， 例 如 ，(CN) 层 的 实体 称 CN) 实体 ， 如 此 


二 oo 
分 层 的 基本 想法 是 每 一 层 都 在 它 的 下 层 提 供 的 服务 基础 上 提供 更 高 级 的 增值 服务 , 而 最 高 
层 提供 能 运行 分 布 式 应 用 程序 的 服务 。 这 样 ， 分 层 的 方法 就 把 复杂 问题 分 解 开 了 。 分 层 的 另外 
一 个 目的 是 保持 层次 之 间 的 独立 性 ， 其 方法 就 是 用 原 语 操作 定义 每 一 层 为 上 层 提供 的 服务 ， 而 
不 考虑 这 些 服务 是 如 何 实 现 的 ， 即 允许 一 个 层次 或 层次 的 集合 改变 其 运行 的 方式 ， 只 要 它 能 为 
上 层 提 供 同样 的 服务 就 行 。 除 最 高 层 外 ， 在 互 连 的 各 个 开放 系统 中 分 布 的 所 有 (CN) 实体 协同 
工作 ， 为 所 有 (CNH) 实体 提供 服务 。 也 可 以 说 ， 所 有 CN) 实体 在 CN-1) 层 提供 的 服务 的 基 
础 上 向 (N+1) 层 提 供 增值 服务 ， 如 图 1-5 所 示 。 例 如 ， 网 络 层 在 数据 链 路 层 提供 的 点 到 点 通 
信服 务 的 基础 上 增加 了 中 继 功 能 。 类 似 地 ， 传 输 层 在 网 络 层 服务 的 基础 上 增加 了 端 到 端的 控制 

功能 。 
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(N+1) 层 (N+1) 实体 
(N) 服务 “人 CN) SAP 
(CN) 层 CN) 实体 
(NI 腿 (N-1) SAP 
(N-1) 层 (N-1) 实体 


图 1-5 实体 、 服 务 访问 点 和 协议 


CN) 实体 之 间 的 通信 只 使 用 (N-1) 服务 。 最 低层 实体 之 间 通 过 OSI 规定 的 物理 介质 通信 ， 
物理 介质 形成 了 OSI 体系 结构 中 的 (0) 层 。CN) 实体 之 间 的 合作 关系 由 CN) 协议 来 规范 。(CN) 
协议 是 由 公式 和 规则 组 成 的 集合 ， 它 精确 地 定义 了 (CN) 实体 如 何 协同 工作 ， 利 用 (N-1) 服务 
去 完成 C(N) 功能 ， 以 便 向 (NH) 实体 提供 服务 。 例 如 ， 传 输 层 协议 定义 了 传输 站 如 何 协同 工 
作 ， 利 用 网 络 服务 向 会 话 实体 提供 传输 服务 。 同 一 个 开放 系统 中 的 CN) 实体 之 间 的 直接 通信 
对 外 部 是 不 可 见 的 ， 因 而 不 包含 在 OSI 体系 结构 中 。 

(N+1) 实体 从 CN) 服务 访问 点 (Service Access Point，SAP) 获得 (N) 服务 。(N) SAP 
表示 CN) 实体 与 N+1) 实体 之 间 的 罗 辑 接口 。 一 个 CN) SAP 只 能 由 一 个 CN) 实体 提供 ， 
也 只 能 被 一 个 (N+1) 实体 所 使 用 。 然 而 ， 一 个 CN) 实体 可 以 提供 几 个 CN) SAP，, 一 个 (N+1) 
实体 也 可 能 利用 几 个 CN) SAP 为 其 服务 。 事 实 上 ，(N) SAP 只 是 代表 了 (CN) 实体 和 (N+1) 
实体 建立 服务 关系 的 手段 。 

OSIRM 用 抽象 的 服务 原 语 说 明 一 个 功能 层 提 供 的 服务 ， 这 些 服务 原 语 采用 了 过 程 调用 的 
形式 。 服 务 可 以 看 作 是 层 间 的 接口 ，OSI 只 为 特定 层 协议 的 运行 定义 了 所 需 的 原 语 和 参数 ， 而 
互 连 系统 内 部 层次 之 间 的 局 部 流 控 所 需 的 原 语 和 参数 ， 以 及 层次 之 间 交 换 状 态 信息 的 原 语 和 参 
数 都 不 包括 在 OSI 服务 的 定义 之 中 。 

服务 分 为 面向 连接 的 服务 和 无 连接 的 服务 。 对 于 面向 连接 的 服务 , 有 4 种 形式 的 服务 原 语 ， 
即 请 求 原 语 、 指 示 原 语 、 响 应 原 语 和 确认 原 语 ， 如 图 1-6 所 示 。(N) 层 提供 CN) SAP 之 间 的 
连接 ， 这 种 连接 是 CN) 服务 的 组 成 部 分 。 最 通常 的 连接 是 点 到 点 的 连接 。 但 是 也 可 以 在 多 个 
端点 之 间 建 立 连接 ， 多 点 连接 和 实际 网 络 中 的 广播 通信 相对 应 。(N) 连接 的 两 端 叫 作 CN) 连 
接 端 点 (Connection End Point，CEP)，(N) 实体 用 本 地 的 CEP 来 标识 它 建立 的 各 个 连接 。 另 
外 ， 在 网 络 服务 中 还 有 一 种 叫 作 数据 报 的 无 连接 的 通信 ， 它 对 面向 事务 处 理 的 应 用 很 重要 ， 所 
以 后 来 也 增添 到 OSIRM 中 。 

下 面 说 明 几 个 与 连接 有 关 的 概念 。 


国医 
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请 求 ”确认 


图 1-6 抽象 的 服务 原 语 


1.， 连接 的 建立 和 释放 


当 某 个 (N+1) 实体 要 求 建立 与 远方 的 (N+1) 实体 的 连接 时 ， 它 必须 给 当地 的 CN) SAP 
提供 远方 (N) SAP 的 地 址 。CN) 连接 建立 后 ，(N 十 1) 实体 就 可 以 用 它们 自己 一 端的 (N) CEP 
来 引用 该 连接 。 例 如 ， 会 话 实体 A 要 求 和 远方 的 会 话 实体 B 连接 ， 则 它 必须 知道 B 的 传输 地 
址 TA (B)。 为 了 建立 这 个 连接 , 会话 实 体 A 请 求 传输 层 建立 地 址 为 TA (A) 的 SAP 和 远方 的 
地 址 为 TA (B) 的 SAP 的 连接 。 该 连接 建立 后 ， 会 话 实体 A 和 B 都 可 以 用 它们 自己 一 端的 传 
输 层 CEP 标识 符 来 引用 它 。 

(N) 连接 的 建立 和 释放 是 在 NJ) 连接 之 上 动态 地 进行 的 。CN) 连接 的 建立 意味 着 两 个 
实体 间 的 (N-1) 连接 可 以 利用 ， 如 果 (N-1) 连接 不 存在 ， 则 必须 预先 建立 或 同时 建立 (N-1) 
连接 ， 而 这 又 要 求 (Y-2) 连接 可 用 。 依 此 类 推 ， 直 到 最 底层 连接 可 用 。 显 然 ， 最 底层 的 物理 
线路 连接 必须 存在 ， 所 有 上 层 连 接 的 建立 才 有 物理 基础 。 


2. 多 路 复 用 和 分 流 


在 (N-1) 连接 之 上 可 以 构造 出 3 种 具体 的 CN) 连接 。 

(1) 一 一 对 应 式 : 每 一 个 CN) 连接 建立 在 一 个 CN-1) 连接 之 上 。 

(2) 多 路 复 用 式 : 几 个 〈N) 连接 多 路 访问 同一 个 NJ) 连接 。 

(3) 分 流 式 : 一 个 CN) 连接 建立 在 几 个 (N41) 连接 之 上 。 这 样 ，(N) 连接 上 的 通信 被 分 
配 到 几 个 (N-1) 连接 上 进行 传输 。 

邻 层 连接 之 间 的 3 种 对 应 关系 在 实际 应 用 中 都 是 可 能 的 。 例 如, 单独 一 个 终端 连接 到 XX.25 
公共 数据 网 上 ， 则 在 一 个 网 络 连接 〈 虚 电路 ) 上 只 实现 一 个 传输 连接 。 如 果 使 用 了 终端 集中 器 ， 
则 各 个 终端 上 的 传输 连接 被 多 路 复 用 到 一 个 网 络 连接 上 ， 这 样 就 降低 了 通信 费用 。 相 反 ， 如 果 
把 一 个 传输 连接 分 流 到 几 个 网 络 连接 上 传输 , 则 可 以 得 到 更 高 的 春 吐 率 , 并 提高 传输 的 可 靠 性 。 


3. 数据 传输 
各 个 实体 之 间 的 信息 传输 是 由 各 种 数据 单元 实现 的 ， 这 些 数 据 单元 如 图 1-7 所 示 。 
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控 制 
(N) 协议 控制 信息 
(NV) 接口 控制 信息 


数 据 
(N) 用 户 数 据 
(N) 接口 数据 


结合 | 
(CN 协议 数据 单元 | 
CN 接口 数据 单元 | 


| 
|_ep -Qn 对 等 实体 
| own 邻 层 实 体 


图 1-7 各 种 数据 单元 


CN) 协议 控制 信息 通过 (N-1) 连接 在 两 个 CN) 实体 之 间 交 换 ， 用 于 协调 (N) 实体 之 间 
的 合作 关系 。 例 如 ，HDLC 的 帧 头 和 帧 尾 。CN) 用 户 数据 来 自 上 层 的 (N+1) 实体 。 这 种 数据 
也 在 两 个 CN) 实体 之 间 传送 ， 但 CN) 实体 并 不 了 解 也 不 解释 其 内 容 。 例 如 ， 网 络 实体 的 数据 
被 包装 在 HDLC 信息 帧 中 由 两 个 数据 链 路 实体 透明 地 传输 。CN) 协议 数据 单元 包含 (N) 协议 
控制 信息 ， 也 可 能 包含 (N) 用 户 数据 。 例 如 HDLC 帧 。 

CN) 接口 控制 信息 是 在 (N+1) 实体 和 CN) 实体 之 间 交 换 的 信息 ， 用 于 协调 两 个 实体 间 
的 合作 。 例 如 ， 在 网 络 实体 和 数据 链 路 实体 间 交 换 的 系统 专用 控制 信息 : 缓冲 区 地 址 和 长 度 、 
最 大 等 待 时 间 等 。CN) 接口 数据 是 (N+1) 实体 交 给 CN) 实体 发 往 远 端 的 信息 ， 或 者 是 CN) 
实体 收 到 的 、 由 远 端 (N+1) 实体 发 来 的 信息 。 例 如 ， 由 数据 链 路 实体 透明 传输 的 一 段 文字 。 
CN) 接口 数据 单元 是 (N+1) 实体 和 (CN) 实体 在 一 次 交互 作用 中 通过 服务 访问 点 传送 的 信息 
单位 ， 由 〈N) 接口 控制 信息 和 (CN) 接口 数据 组 成 。 一 个 CN) 连接 两 端 传送 的 (CN) 接口 数 
据 单元 的 大 小 可 以 不 同 ， 例 如 ， 网 络 实体 和 为 之 服务 的 数据 链 路 实体 可 以 在 一 次 交互 作用 中 传 
送 一 个 数据 块 。 

(CN) 服务 数据 单元 是 通过 CN) 连接 从 一 端 传送 到 另 一 端的 数据 的 集合 ， 这 个 集合 在 传送 
期 间 保持 其 标识 不 变 。(N) 服务 数据 单元 可 能 通过 一 个 或 多 个 CN) 协议 数据 单元 传送 ， 并 在 
到 达 接 收 端 后 完整 地 交 给 上 层 的 CNH) 实体 。 

OSIRM 的 网 络 体系 结构 如 图 1-8 所 示 ， 下 面 简要 说 明 OSIURM 七 层 协 议 的 主要 功能 。 

1) 应 用 层 

这 是 OSI 的 最 高 层 。 这 一 层 的 协议 直接 为 端 用 户 服务 ， 提 供 分 布 式 处 理 环境 。 应 用 层 管理 
开放 系统 的 互 连 , 包括 系统 的 启动 、 维 持 和 终止 ， 并 保持 应 用 进程 间 建 立 连 接 所 需 的 数据 记录 ， 
其 他 层 都 是 为 支持 这 一 层 的 功能 而 存在 的 。 

一 个 应 用 是 由 一 些 合作 的 应 用 进程 组 成 的 ， 这 些 应 用 进程 根据 应 用 层 协 议 互相 通信 。 应 用 
进程 是 数据 交换 的 源 和 宿 ， 也 可 以 被 看 作 是 应 用 层 的 实体 。 应 用 进程 可 以 是 任何 形式 的 操作 过 
程 ， 例 如 ， 手 工 的 、 计 算 机 化 的 或 工业 和 物理 过 程 等 。 这 一 层 协议 的 例子 有 在 不 同系 统 间 传输 
文件 的 协议 、 电 子 邮 件 协议 和 远程 作业 输入 协议 等 。 
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物理 层 | 一 -~| 物理 层 | 和 -一 二 | 物理 层 
IMP IMP 


一 一 网 络 层 主机 一 一 IMP 协议 
数据 链 路 层 主机 一 一 IMP 协议 
物理 层 主机 一 一 IMP 协议 


图 1-8 OSI 模型 的 网 络 体系 结构 


2) 表示 层 

表示 层 的 用 途 是 提供 一 个 可 供应 用 层 选择 的 服务 的 集合 ,使 得 应 用 层 可 以 根据 这 些 服务 功 
能 解释 数据 的 含义 。 表 示 层 以 下 各 层 只 关心 如 何 可 靠 地 传输 数据 ， 而 表示 层 关心 的 是 所 传输 数 
据 的 表现 方式 、 它 的 语法 和 语义 。 表 示 服 务 的 例子 有 统一 的 数据 编码 、 数 据 压缩 格式 和 加 密 技 
术 等 。 

3) 会 话 层 

会 话 层 支持 两 个 表示 层 实 体 之 间 的 交互 作用 。 它 提供 的 会 话 服务 可 分 为 以 下 两 类 。 

(1) 把 两 个 表示 实体 结合 在 一 起 ， 或 者 把 它们 分 开 ， 这 叫 会 话 管理 。 

(2) 控制 两 个 表示 实体 间 的 数据 交换 过 程 ， 例 如 分 段 、 同 步 等 ， 这 一 类 叫 会 话 服务 。 

通过 计算 机 网 络 的 会 话 和 人 们 打 电 话 不 一 样 ， 更 和 人 们 当面 谈话 的 情况 不 一 样 。 对 话 的 管 
理 包括 决定 该 谁 说 ， 该 谁 听 。 长 的 对 话 〔 例 如 传输 一 个 长 文件 ) 需要 分 段 ， 一 段 一 段 地 进行 ， 
如 果 一 段 传 错 了 ， 可 以 回 到 分 界线 的 地 方 重新 传输 。 所 有 这 些 功 能 都 需要 专门 的 协议 支持 。 
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4) 传输 层 

这 一 层 在 低层 服务 的 基础 上 提供 一 种 通用 的 传输 服务 。 会 话 实体 利用 这 种 透明 的 数据 传输 
服务 而 不 必 考虑 下 层 通信 网 络 的 工作 细节 ， 并 使 数据 传输 能 高 效 地 进行 。 传 输 层 用 多 路 复 用 或 
分 流 的 方式 优化 网 络 的 传输 效率 。 当 会 话 实体 要 求 建立 一 条 传输 连接 时 ， 传 输 层 要 求 建立 一 个 
对 应 的 网 络 连接 。 如 果 要 求 较 高 的 吞吐 率 ， 传 输 层 可 能 为 其 建立 多 个 网 络 连接 ;如果 要 求 的 传 
输 速率 不 是 很 高 ， 单 独创 建 和 维持 一 个 网 络 连接 不 合算 ， 传 输 层 可 以 考虑 把 几 个 传输 连接 多 路 
复 用 到 一 个 网 络 连接 上 。 这 样 的 多 路 复 用 和 分 流 对 传输 层 以 上 是 透明 的 。 

传输 层 的 服务 可 以 提供 一 条 无 差错 按 顺 序 的 端 到 端 连接 , 也 可 能 提供 不 保证 顺序 的 独立 报 
文 传输 ， 或 多 目标 报 文 广播 。 这 些 服务 可 由 会 话 实 体 根据 具体 情况 选用 。 传 输 连 接 在 其 两 端 进 
行 流量 控制 ， 以 免 高 速 主机 发 送 的 信息 流 “ 济 没 ”低速 主机 。 传 输 层 协议 是 真正 的 源 端 到 目标 
端的 协议 ， 它 由 传输 连接 两 端的 传输 实体 处 理 。 传 输 层 下 面 的 功能 层 协议 都 是 通信 子 网 中 的 协议 。 

5) 网 络 层 

这 一 层 的 功能 属于 通信 子 网 ， 它 通过 网 络 连接 交换 传输 层 实体 发 出 的 数据 。 网 络 层 把 上 层 
传 来 的 数据 组 织 成 分 组 在 通信 子 网 的 节点 之 间 交 换 传送 。 交 换 过 程 中 要 解决 的 关键 问题 是 选择 
路 径 ， 路 径 既 可 以 是 固定 不 变 的 ， 也 可 以 是 根据 网 络 的 负载 情况 动态 变化 的 。 另 外 一 个 要 解决 
的 问题 是 防止 网 络 中 出 现 局 部 的 拥挤 或 全 面 的 阻塞 。 此 外 ， 网 络 层 还 应 有 记 账 功能 ， 以 便 根 据 
通信 过 程 中 交换 的 分 组 数 〈 或 字符 数 、 位 数 ) 收费 。 

当 传 送 的 分 组 跨越 一 个 网 络 的 边界 时 ， 网 络 层 应 该 对 不 同 网 络 中 分 组 的 长 度 、 寻 址 方式 、 
通信 协议 进行 变换 ， 使 得 异 构 型 网 络 能 够 互联 互通 。 

6) 数据 链 路 层 

这 一 层 的 功能 是 建立 、 维 持 和 释放 网 络 实体 之 间 的 数据 链 路 ， 这 种 数据 链 路 对 网 络 层 表现 
为 一 条 无 差错 的 信道 。 相 邻 节点 之 间 的 数据 交换 是 分 帧 进行 的 ， 各 帧 按 顺 序 传 送 ， 并 通过 接收 
端的 校 验 检查 和 应 答 保证 可 靠 的 传输 。 数 据 链 路 层 对 损坏 、 丢 失 和 重复 的 帧 应 能 进行 处 理 ， 这 
种 处 理 过 程 对 网 络 层 是 透明 的 。 相 邻 节 点 之 间 的 数据 传输 也 有 流量 控制 的 问题 ， 数 据 链 路 层 把 
流量 控制 和 差错 控制 合 在 一 起 进行 。 两 个 节点 之 间 传 输 数据 帧 和 发 回应 答 帧 的 双向 通信 问题 要 
有 特殊 的 解决 办 法 ， 有 时 由 反 向 传输 的 数据 帧 “ 撒 带 ”应 答 信息 ， 这 是 一 种 极 巧妙 而 又 高 效率 
的 控制 机 制 。 

7) 物理 层 

这 一 层 规定 通信 设备 机 械 的 、 电 气 的 、 功 能 的 和 过 程 的 特性 ， 用 于 建立 、 维 持 和 释放 数据 
链 路 实体 间 的 连接 。 具 体 地 说 ， 这 一 层 的 规定 都 与 电路 上 传输 的 原始 位 有 关 ， 它 涉及 什么 信号 
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代表 1， 什 么 信号 代表 0; 一 位 持续 多 少时 间 ; 传输 是 双向 的 ， 还 是 单 向 的 ; 一 次 通信 中 发 送 
方 和 接收 方 如 何 应 答 ， 设 备 之 间 连 接 件 的 尺寸 和 接头 数 ， 以 及 每 根 连 线 的 用 途 等 。 


1.5 ” 几 种 商用 网 络 的 体系 结构 


这 一 节 介绍 几 种 商用 网 络 的 体系 结构 。 这 些 网 络 体系 结构 严格 定义 了 对 等 层 之 间 的 协议 、 
它们 的 语法 《命令 和 响应 的 格式 ) 和 语义 〈 对 协议 的 解释 )， 而 把 相 邻 层 之 间 的 接口 留 给 实现 
者 决定 。 

1.5.1 SNA 


1974 年 ，IBM 公司 推出 了 系统 网 络 体系 结构 ， 这 是 一 种 以 大 型 主机 为 中 心 的 集中 式 网 络 。 
在 SNA 中 ， 主 机 运行 ACF/VTAM (Advanced Communication Facility/Virtual Telecommunication 
Access Method) 服务 ， 所 有 的 系统 资源 都 是 由 ACF/VTAM 定义 的 。SNA 协议 分 为 7 层 ， 如 图 1-9 
所 示 ， 各 层 的 功能 简 述 如 下 。 

(1) 物理 层 。 这 一 层 与 物理 传输 介质 的 机 械 、 电 气 、 功 能 和 过 程 特性 有 关 ， 提 供 了 传输 介 
质 的 接口 。SNA 没有 定义 这 一 层 的 专门 协议 ， 准 备 采 用 其 他 国际 标准 。 

(2) 数据 链 路 控制 层 。 这 一 层 的 功能 是 把 原始 的 比特 流 组 织 成 帧 ， 使 之 无 损伤 地 沿 着 噪音 
信道 从 主 站 传送 到 次 站 。SNA 定义 了 串 行 数据 链 路 控制 协议 SDLC, 同时 也 支持 IBM 令 牌 环 网 
或 其 他 局 域 网 协议 。 

(3) 路 径 控制 层 (PC)。 这 一 层 的 功能 是 在 源 节 点 和 目标 节点 之 间 建 立 一 条 邮 辑 通路 。PC 
层 也 对 数据 报 进行 分 段 和 重 装配 ， 以 便 提 高 传输 效率 。 在 一 对 节点 之 间 可 以 提供 8 条 虚 电路 ， 
每 一 条 虚 电 路 都 有 流 控 功能 。 

(4) 传输 控制 层 CTC)。 提 供 端 到 端的 面向 连接 的 服务 ， 不 支持 无 连接 的 通信 ， 可 以 为 上 
层 提供 一 条 无 差错 的 信道 。TC 也 完成 加 /解密 功能 。 

(5) 数据 流 控制 层 (DFC)。 这 一 层 根 据 用 户 的 请 求 和 响应 对 会 话 方式 和 会 话 过 程 进 行 管 
理 ， 决 定数 据 通信 的 方向 、 数 据 通信 方式 、 数 据 流 的 中 断 和 恢复 等 。 

(6) 表示 服务 层 (PS)。 这 一 层 定 义 数据 编码 和 数据 格式 ， 也 负责 资源 的 共享 和 操作 的 同 
步 ， 使 得 网 络 入 口 处 的 多 个 用 户 可 以 并 发 地 操作 。 

(7) 事务 处 理 服务 层 (TS)。 这 一 层 以 特权 程序 的 形式 为 用 户 提供 应 用 服务 。 例 如, SNA/DS 
(SNA Distribution Service) 就 是 SNA 提供 的 一 种 异步 分 布 处 理 系统 。 
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图 1-9 SNA 的 体系 结构 


随 着 微型 计算 机 局 域 网 的 广泛 使 用 ，IBM 推出 了 第 二 代 的 高 级 点 对 点 网 络 (Advanced 


Peer-to-Peer Networking，APPN)， 使 得 SNA 由 集 


天 


P 式 网 络 演变 成 点 对 点 的 网 络 环境 。 在 APPN 


网 络 环境 中 有 下 面 3 类 节点 。 


低级 入 


节点 〈Low-Entry Node，LEN)。 这 种 节点 只 能 利用 与 其 相连 的 网 络 节点 提供 


的 服务 进行 会 话 。 


端 节点 


(End Node，EN)。 这 种 节点 包含 APPN 的 部 分 功能 ， 还 具有 路 由 能 力 ， 能 够 


通过 网 络 节点 与 其 他 端 节点 建立 会 话 。 
网 络 节点 (NetworkNode,NN)。 这 种 节点 包含 APPN 的 全 部 功能 , 其 中 的 控制 点 (Control 
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了 Point，CP) 功能 管理 着 NN 的 全 部 资源 ， 能 够 建立 CP-to-CP 会 话 ， 维 护 网 络 的 拓扑 
结构 ， 并 提供 目录 服务 。 
图 1-10 展示 了 由 这 几 种 节点 组 成 的 APPN 网 络 的 拓扑 结构 。 


网 络 节点 


低级 入 口 节点 


APPN 网 络 


图 1-10 APPN 网 络 的 拓扑 结构 


1.5:2 X25 


X.25 协议 如 图 1-11 所 示 , 它 是 CCITT 在 1976 年 公布 的 公用 数据 网 (Public Data Network， 
PDN) 标准 ， 后 来 又 经 过 了 两 次 修订 。X.25 包括 了 通信 子 网 最 下 边 的 3 个 迪 辑 功能 层 ， 即 物理 
层 、 链 路 层 和 网 络 层 ， 与 SNA 下 面 的 3 层 是 对 应 的 。 

最 低层 用 X.21 作为 用 户 节点 (DTE) 和 通信 子 网 之 间 建 立 电气 连接 的 对 等 协议 。 在 图 1-11 
中 ， 数 据 分 组 Pl 和 了 3 是 送 往 站 2 的 ， 而 分 组 P2 是 送 往 其 他 站 的 。 链 路 层 协议 使 用 HDLC 的 
全 双 工 异步 平衡 方式 进行 通信 ， 管 理 分 组 序列 的 无 差错 传输 。 

虚 电路 连接 (VC) 的 建立 和 释放 既 关 系 到 端 对 端的 功能 特性 ， 也 关系 到 端 节点 对 网 络 的 
功能 特性 。 例 如 ， 建 立 VC 时 ， 一 端的 用 户 必须 知道 另 一 端 用 户 的 地 址 ， 这 显然 是 端 对 端的 功 
能 特性 。 然 而 ，VC 建立 后 的 寻 址 功能 是 针对 网 络 中 的 每 一 个 交换 节点 的 ， 而 不 是 在 两 端 节点 
中 寻 址 。 
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去 其 他 站 
高 级 功能 虚 电 路 虚 电 路 高 级 功能 
P2 
分 组 层 分 组 层 
(PLP) 如 | (PLP) 
D ! | 
链 路 层 | 链 路 层 
(HDLC) c Lin CT (HDLC) 
物理 层 
| 物理 层 
(X21) Ci 
站 1 (DTE) 分 组 交换 网 络 站 2 (DTE) 


图 1-11 X.25 的 分 层 协议 和 虚 电 路 


1.5.3 Novell NetWare 


Novell 公司 的 NetWare 3.11 在 20 世纪 80 年 代 曾 非常 流行 ， 后 来 随 着 Intermet 的 兴起 和 
Windows NT 的 出 现 而 衰落 了 。 但 是 它 并 没有 完全 退出 市 场 ,2003 年 ,Novell 公司 推出 了 NetWare 6.5， 
全 面 支持 “开放 源 代码 ”和 一 系列 新 技术 。NetWare 6.5 的 优点 是 具有 安全 可 靠 性 而 且 管 理 成 本 
低 ， 随 着 新 版 本 的 推出 ，Novell 公司 可 能 会 重新 夺回 一 部 分 失去 的 市 场 份额 。 

目前 市 场 上 流行 的 版 本 是 NetWare 4.2， 这 个 系统 的 体系 结构 如 图 1-12 所 示 。Novell 公司 
的 专用 通信 协议 是 IPX/SPX。IPX (Internet Protocol Exchange) 是 Novell 公司 按照 Xerox 公司 
的 IDP 协议 (Internet Datagram Protocol) 实现 的 网 络 层 协 议 ， 提 供 无 连接 的 数据 报 服务 ， 用 于 
在 工作 站 和 服务 器 之 间 传 送 数据 。SPX (Sequential Packet Exchange) 是 Novell 公司 的 传输 层 协 
议 ， 在 分 布 式 应 用 之 间 提 供 顺序 提交 服务 。 另 外 ，NetWare 也 支持 TCP/IP 协议 和 Windows 协 
议 ， 可 以 和 Internet 直接 相连 。 

同时 ， 还 需要 其 他 协议 的 配合 ， 网 络 层 才能 完成 传送 数据 报 的 任务 。RIPX 是 Novell 公司 
的 路 由 信息 协议 ， 用 于 在 网 关 之 间 收集 和 交换 路 由 信息 。BCAST (Broadcast) 是 广播 协议 ， 用 
于 向 用 户 广播 消息 。DIAG (Diagnostic) 是 诊断 协议 ， 在 局 域 网 中 用 于 连接 测试 和 配置 信息 的 
收集 。WDOG (Watchdog) 协议 监视 工作 站 的 活动 ， 当 连接 断 开 时 向 服务 器 发 出 通知 。 

NetWare 中 有 两 个 会 话 层 协 议 。 服 务 公告 协议 把 网 络 中 所 有 服务 器 的 信息 发 送 给 客户 端 ， 
这 样 客户 端 才能 向 特定 的 服务 器 发 送 消息 。 通 常 网 络 中 有 多 种 服务 器 ， 包 括 文件 服务 器 、 打 印 
服务 器 、 访 问 服务 器 和 远程 控制 服务 器 等 。 另 外 ，Novell 还 重新 实现 了 NetBIOS， 作 为 会 话 层 
编程 平台 。 
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图 1-12 NetWare 的 体系 结构 


NetWare 核心 协议 (NetWare Core Protocol，NCP) 管理 服务 器 资源 ， 它 向 服务 器 发 出 过 程 
调用 来 使 用 文件 和 打印 资源 。 突 发 模式 协议 (BurstModeProtocol，BMP) 是 为 提高 文件 传输 的 
效率 而 设计 的 。 用 突 发 模式 通信 , 允许 对 一 个 请 求 发 回 多 个 响应 包 。NetWare 目录 服务 (NetWare 
Directory Services，NDS) 是 一 个 分 布 式 网 络 数据 库 。 在 基于 NDS 的 网 络 中 ， 仅 需 一 次 登录 就 
可 以 访问 所 有 的 服务 器 ， 而 以 前 基于 装订 库 (Bindery) 的 网 络 则 需要 在 不 同 的 服务 器 之 间 不 断 
切换 。 


1.6 OSI 协议 集 


国际 标准 化 组 织 除 定义 了 OSI 参考 模型 之 外 , 还 开发 了 实现 7 个 功能 层次 的 各 种 协议 和 服 
务 标准 ， 这 些 协议 和 服务 统称 为 “OSI 协议 ”OSI 协议 是 一 些 已 有 的 协议 和 ISO 新 开发 的 协议 
的 混合 体 ， 例 如 ， 大 部 分 物理 层 和 数据 链 路 层 协议 是 采用 了 现 有 的 协议 ， 而 数据 链 路 层 以 上 的 
协议 是 ISO 自行 起 草 的 。 产生 OSI 协议 的 目的 是 提出 能 满足 所 有 组 网 需求 的 国际 标准 ， 但 是 到 
目前 为 止 ， 实 现 情况 离 这 一 目标 还 很 遥远 。 

虽然 OSI 协议 集 的 实现 缺乏 商业 动力 , 但 是 OSURM 作为 网 络 系统 的 知识 框架 ， 对 于 学 习 
和 理解 网 络 标准 还 是 有 用 的 。 全 国 计 算 机 与 信息 处 理 标准 化 技术 委员 会 开放 系统 互 连 分 技术 委 
员 会 负责 把 ISO/TC95/SC21 标准 采纳 为 国家 标准 ， 它 制定 的 “开放 系统 互 连 一 基本 参考 模型 ” 
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与 ISO OSURM 相同 。 

和 其 他 的 协议 集 一 样 ，OSI 协议 是 实现 某 些 功能 的 过 程 的 描述 和 说 明 。 每 一 个 OSI 协议 都 
详细 地 规定 了 特定 层次 的 功能 特性 。OSI 协议 集 如 图 1-13 所 示 。 下 面 分 别 说 明 对 应 OSI 参考 模 
型 7 个 功能 层次 的 各 种 协议 。 


应 用 层 vr [psTrma| cumcvs | ws | 
一 ACSE.RTSE.ROSE.CCR | ASN1 

当下 民 OSI 表示 层 协 议 | 

会 话 层 OSI 会 话 层 协议 

传输 层 TPO. TPI. TP2.TP3. TP4 

网 络 层 ES-IS IS-IS 
X.25 PLP CLNP 

| 数据 链 路 层 | TEEE 802.2 HDLC_LAPB 

物理 层 8023 802.4 802.5 RS-232 RS-449 X.21 

FDDI V35 ISDN 


图 1-13 OSI 协议 集 
1. 物理 层 协议 


在 物理 层 ，OSI 采 用 了 各 种 现成 的 协议 ， 其 中 有 RS-232、RS-449、X.21、V35、ISDN， 以 
及 FDDI、IEEE 802.3、IEEE 802.4 和 IEEE 802.5 的 物理 层 协议 ,将 在 后 面 的 有 关 章 节 介 绍 这 些 
协议 。 


2. 数据 链 路 层 协 议 


在 数据 链 路 层 ，OSI 的 协议 集 也 是 采用 了 当前 流行 的 协议 ， 其 中 包括 HDLC、LAP-B 以 及 
IEEE 802 的 数据 链 路 层 协议 ISO 8802)。 数 据 链 路 层 协议 和 服务 与 具体 的 物理 传输 技术 有 关 。 
虽然 上 面 的 功能 层 一 般 是 每 层 对 应 一 个 协议 ， 而 在 数据 链 路 层 却 不 是 这 样 ， 为 了 有 效 地 利用 各 
种 传输 技术 ， 数 据 链 路 层 用 不 同 的 协议 满足 不 同 的 技术 要 求 。 


3. 网 络 层 协议 


网 络 层 提 供 两 种 服务 ， 即 面向 连接 的 服务 和 无 连接 的 服务 。ISO 8348 文件 定义 了 面向 连接 
的 服务 (CONS), 与 此 对 应 的 协议 是 CCITT X.213, 这 两 个 文件 的 规定 与 X.25 分 组 级 协议 (PLP) 
一 致 。ISO 8473 文件 定义 了 无 连接 的 网 络 服务 CLNS。 在 OSI 参考 模型 中 ， 各 个 层次 除了 服务 
定义 文件 外 ， 还 有 定义 该 功能 的 协议 规范 文件 ， 但 是 在 网 络 层 没有 相应 的 协议 规范 文件 。 原 因 
是 通信 网 络 一 般 是 由 PIT (Post Telephone &Telegraph) 提供 的 ， 网 络 的 提供 者 或 者 按照 其 原 
有 的 规定 建 网 ， 或 者 按照 CCITT 的 建议 提供 服务 ， 因 而 对 网 络 功能 的 标准 化 并 不 感 兴趣 。 
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ISO 8878 文件 (或 X223) 类 似 于 网 络 层 的 协议 规范 ， 它 规定 了 从 X.213 服务 原 语 到 X.25 
分 组 协议 的 映像 关系 。 按 照 这 个 映像 ， 每 一 个 X.213 原 语 对 应 一 个 或 两 个 义 .25 PLP 功能 。 实 现 
两 种 网 络 服务 的 基础 网 络 是 多 种 多 样 的 ， 对 于 有 些 网 络 来 说 ， 必 须 增 加 软件 功能 ， 提 供 附 加 的 
功能 ， 才 能 转向 OSI 的 标准 形式 。 例 如 ， 非 X.25 网 络 可 能 没有 分 组 排序 功能 ， 当 这 种 网 络 要 
转向 X.213 服务 时 必须 增加 软件 排序 功能 。 因 而 OSI 网 络 层 又 分 成 了 3 个 子 层 , ISO 8648 文件 
描述 了 网 络 层 内 部 的 组 织 ， 给 出 了 3 个 子 层 的 协议 。 最 上 面 的 子 层 完成 与 子 网 无 关 的 会 聚 功能 
(SNIC)， 相 当 于 网 际 协 议 ; 中 间 一 个 子 层 实现 与 子 网 相关 的 会 聚 功能 (SNDC)， 它 的 作用 是 把 
一 个 具体 的 网 络 服务 改造 得 适合 于 网 络 子 层 的 需要 ; 最 下 面 的 子 层 利用 数据 链 路 服务 ， 实 现 子 
网 访问 功能 CSNAC)。3 个 子 层 是 任 选 的 ， 对 于 不 同 的 基础 网 络 ， 可 以 选用 或 完全 不 用 3 个 子 
层 协议 。 

另外 ， 关 于 网 络 互 连 ，ISO 9542 描述 了 端 系统 和 中 间 系 统 (ES-IS) 之 间 的 通信 协议 ，ISO 
10589 描述 了 中 间 系 统 与 中 间 系 统 (IS-IS) 之 间 的 通信 协议 。 这 两 个 文件 是 ISO 8473 的 补充 。 


4. 传输 层 协 议 


传输 层 和 网 络 层 之 间 的 界面 是 用 户 和 通信 子 网 的 界面 。 传 输 层 的 任务 是 在 子 网 服务 的 基础 
上 提供 完整 的 数据 传送 ， 因 而 在 原来 的 OSI 协议 集中 ， 传 输 层 的 功能 是 提供 面向 连接 的 服务 
无 连接 的 服务 是 后 来 增加 的 。OSI 传输 服务 定义 文件 是 ISO 8072， 传 输 层 协议 规范 文件 是 ISO 
8073〈 连 接 模式 ) 和 ISO 8602 (无 连接 模式 )。 

无 连接 传输 远 没有 面向 连接 的 传输 应 用 得 广泛 。 由 于 各 种 通信 子 网 在 服务 模式 、 残 留 错误 
率 以 及 是 否 发 生 网 络 复位 等 方面 有 很 大 差别 ， 所 以 要 实现 面向 连接 的 传输 服务 ， 对 不 同 的 子 网 
所 需 完成 的 传输 功能 也 不 同 。 因 而 ， 面 向 连接 的 传输 协议 分 为 5 类 ， 即 TP0、TP1、TP2、TP3 
和 TP4。 这 5 类 传输 协议 在 不 同 的 通信 子 网 服务 的 基础 上 都 能 提供 完整 的 数据 传送 ， 组 网 时 可 
根据 子 网 的 情况 选用 。 


S. 会 话 层 协议 


通常 把 第 5 层 以 上 的 各 层 协议 叫 作 高 层 协议 ， 这 些 协 议 都 是 ISO 制定 的 ， 目 的 是 为 应 用 程 
序 提供 各 种 不 同 的 服务 。OSI 高 层 协议 一 般 都 有 对 应 的 CCITT 建议 。 会 话 层 在 传输 层 提供 的 完 
整 的 数据 传送 平台 上 提供 应 用 进程 之 间 组 织 和 构造 交互 作用 的 机 制 ， 这 种 机 制 表 现在 会 话 层 服 
务 定义 文件 ISO 8326 (CCITT X.215) 和 协议 规范 文件 ISO 8327 (CCITTX.225) 中 。 

OSI 会 话 层 协议 是 在 ECMA (European Computer Manufacturers Association) 提供 的 会 话 协 
议和 CCITT 的 工 62 (Teletex) 建议 的 基础 上 制定 的 ， 它 既 包含 了 面向 计算 机 应 用 的 功能 ， 也 包 
含 了 与 智能 用 户 电报 〈Teletex) 兼容 的 功能 。 这 个 协议 集 像 个 大 工具 箱 ， 每 种 工具 叫 作 一 个 功 
能 单元 。 在 一 次 会 话 中 要 使 用 哪些 功能 单元 ， 在 建立 会 话 连接 时 要 进行 协商 。 由 于 有 些 功能 单 
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元 可 直接 作用 于 应 用 程序 ， 因 而 使 人 们 怀疑 是 否 有 必要 保留 会 话 层 。 不 过 会 话 层 协议 毕竟 作为 
标准 公布 了 ， 组 网 中 是 否 实现 会 话 层 可 由 用 户 决定 。 


6. 表示 层 协 议 


表示 层 协议 也 是 OSI 制定 的 , 但 它 出 现 得 很 晚 ， 以 至 于 在 早期 的 OSI 实现 中 完全 没有 这 一 
层 。 表 示 层 原来 的 用 途 是 规定 用 户 信息 的 表现 方式 ， 例 如 与 显示 屏幕 有 关 的 字符 集 、 行 的 长 度 
和 行 结束 符 等 。 后 来 把 这 些 与 终端 和 文件 传输 有 关 的 功能 划分 到 了 应 用 层 ， 所 以 表示 层 的 功能 
就 只 剩 下 了 关于 数据 表示 的 约定 。 

各 种 计算 机 内 部 的 数据 表示 可 能 不 同 ， 例如， 整数 可 能 是 1 的 补 码 或 者 是 2 的 补 码 ， 浮 点 
数 的 格式 可 能 不 同 ， 字 节 的 顺序 可 能 不 一 样 〈 高 位 字 节 在 前 ， 或 低位 字 节 在 前 ) 等 ， 这 些 方面 
的 差别 在 网 络 传输 时 需要 统一 .OSI 处 理 这 个 问题 的 方法 类 似 于 在 程序 设计 语言 (例如 PASCAL 
或 C) 中 用 基本 数据 类 型 构造 复杂 数据 结构 的 方法 ， 其 主要 思想 是 用 一 种 抽象 语法 表示 用 户 的 
数据 。 应 用 层 的 协议 数据 单元 (APDU) 向 下 送 到 表示 层 时 ， 表 示 层 用 抽象 语法 表示 它 的 结构 ， 
传送 到 对 方 表示 层 时 , 也 应 用 同样 的 抽象 语法 解释 它 。OSI 的 第 一 个 抽象 语法 是 ASN.1(Abstract 
Syntax Notation 1)， 它 记录 在 ISO 8824 (CCITT X.208) 文件 中 。 文件 ISO 8825 (CCITT X.209) 
描述 了 一 种 具体 的 编码 规则 , 叫 作 传送 语法 ,OSI 表示 层 服务 定义 文件 是 ISO 8822(CCITT X.216)， 
协议 规范 文件 是 ISO 8823 (CCITT X.226)。 表示 层 过 程 用 于 建立 连接 、 控制 数据 的 发 送 和 同步 。 
它 只 是 个 很 简单 的 相 邻 层 之 间 的 “过 路 ”协议 。 


7. 应 用 层 协议 


应 用 层 是 OSI 的 最 高 层 ， 这 一 层 的 协议 都 与 应 用 进程 间 的 通信 有 关 。 现 在 ， 针 对 各 种 应 用 
已 经 定义 了 大 量 的 协议 ， 还 有 很 多 应 用 协议 正在 制定 之 中 。 

分 布 式 应 用 是 多 种 多 样 的 ， 所 以 OSI 提出 了 应 用 服务 元 素 (Application Service Element, 
ASE) 的 概念 。ASE 是 建立 应 用 程序 和 通信 网 络 联系 的 构件 ， 这 些 构件 对 大 部 分 应 用 程序 是 通 
用 的 。 最 主要 的 ASE 有 4 种 , 即 联系 控制 服务 元 素 (Association Control Service Element, ACSE )、 
可 靠 传输 服务 元 素 (Reliable Transfer Service Element，RTSE)、 远 程 操作 服务 元 素 (Remote 
Operations Service Element，ROSE) 以 及 提交 、 并 发 和 恢复 (Commitment Concurrency and 
Recovery，CCR) 服务 元 素 。 

ACSE 提供 建立 和 释放 应 用 层 连 接 的 基本 功能 。RTSE 提供 用 户 数据 的 可 靠 传输 ,“ 可 靠 ” 
是 指 系统 通信 可 以 从 骨 溃 中 恢复 。ROSE 提供 一 种 远程 过 程 调用 ， 这 种 远程 传输 可 以 在 两 个 方 
向 上 传送 大 量 数据 。CCR 提供 了 保证 分 布 式 操作 准确 、 完 整 、 恰 好 一 次 性 实现 的 机 制 。 定 义 这 
4 种 应 用 服务 元 素 的 ISO 和 CCITT 文件 如 表 1-2 所 示 。 
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表 1-2 应 用 服务 元 素 标准 
服务 定义 
ISO 8649 ACSE CCITTX.217 
ISO 9066RTSE CCITTX.218 
ISO 9072-1 ROSE CCITTX.219 
ISO 9804 CCR CCITTX.237 


ISO 8650 CCITT X.227 
ISO 9066-2 CCITT X.228 
ISO 9072-2 CCITT X.229 
ISO 9805 CCITTX.247 


已 经 定义 的 OSI 应 用 层 协议 主要 有 5 种 ， 其 中 ，OSI 的 电子 邮件 标准 (ISO 10021) 叫 作 
MOTIS (Message-Oriented Text Interchange System)， 它 是 根据 CCITT 的 X.400 建议 制定 的 ; 
OSI 的 文件 传输 协议 (ISO 8571 和 ISO 8572) 叫 作 FTAM(File Transfer Access and Management)， 
这 是 一 个 适用 于 各 种 文件 类 型 〈 包 括 远程 数据 库 文 件 访问 ) 的 功能 很 强 的 文件 访问 协议 ;OSI 
的 目录 服务 (Directory Service，DS) 协议 〈ISO 9594) 来 源 于 CCITTR X.500 系列 建议 ， 提 供 
分 布 式 数据 库 功 能 ，OSI 的 虚拟 终端 (Virtual Terminal，VT) 协议 〈ISO 9040 和 ISO 9041) 定 
义 了 表示 实际 终端 抽象 状态 的 数据 结构 , 用 于 解决 各 种 终端 不 兼容 的 问题 ; 关于 网 络 管理 , OSI 
制定 了 公共 管理 信息 协议 (Common Management Information Protocol，CMIP) 和 公共 管理 信息 
服务 Common Management Information Service，CMIS)，CMIP/CMIS 建立 在 一 个 大 的 管理 信 
息 数据 库 上 ， 对 网 络 中 的 资源 、 交 通 和 安全 等 进行 管理 ， 它 们 包含 在 ISO 9595 和 ISO 9596 两 
个 文件 中 。 
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计算 机 网 络 采用 数据 通信 方式 传输 数据 。 数 据 通信 和 电话 网 络 中 的 语音 通信 不 同 ， 也 和 无 
线 电 广播 通信 不 同 ， 它 有 其 自身 的 规律 和 特点 。 数 据 通信 技术 的 发 展 与 计算 机 技术 的 发 展 密切 
相关 ， 又 互相 影响 ， 形 成 了 一 门 独立 的 学 科 。 这 门 学 科 主 要 研究 对 计算 机 中 的 三 进 制 数据 进行 
传输 、 交 换 和 处 理 的 理论 、 方 法 以 及 实现 技术 。 本 章 讲述 数据 通信 的 基本 理论 和 基础 知识 ， 为 
学 习 以 后 各 章 内 容 做 好 准备 。 


2.1 数据 通信 的 基本 概念 


通信 的 目的 就 是 传递 信息 。 通 信 中 产生 和 发 送信 息 的 一 端 叫 作 信 源 ， 接 收 信息 的 一 端 叫 作 
信 宿 , 信 源 和 信 宿 之 间 的 通信 线路 称 为 信道 。 信 息 在 进入 信道 时 要 变换 为 适合 信道 传输 的 形式 ， 
在 进入 信 宿 时 又 要 变换 为 适合 信 宿 接收 的 形式 。 信 道 的 物理 性 质 不 同 ， 对 通信 的 速率 和 传输 质 
量 的 影响 也 不 同 。 另 外 ， 信 息 在 传输 过 程 中 可 能 会 受到 外 界 的 干扰 ， 把 这 种 干扰 称 为 噪声 。 不 
同 的 物理 信道 受 各 种 干扰 的 影响 不 同 ， 例 如 ， 如 果 信 道上 传输 的 是 电信 号 ， 就 会 受到 外 界 电磁 
场 的 干扰 ， 光 纤 信 道 则 基本 不 受 电 磁场 干扰 。 以 上 描述 的 通信 模式 忽略 了 具体 通信 中 的 物理 过 
程 和 技术 细节 ， 得 到 如 图 2-! 所 示 的 通信 系统 模型 。 


信 源 Ee 信道 | 一 变换 信 宿 


图 2-1 通信 系统 模型 


作为 一 般 的 通信 系统 ， 信 源 产生 的 信息 可 能 是 模拟 数据 ， 也 可 能 是 数字 数据 。 模 拟 数据 取 
连续 值 ， 而 数字 数据 取 离 散 值 。 在 数据 进入 信道 之 前 要 变 成 适合 传输 的 电磁 信号 ， 这 些 信号 也 
可 以 是 模拟 的 或 数字 的 。 模 拟 信号 是 随时 间 连 续 变化 的 信号 ， 这 种 信号 的 某 种 参量 〈 如 幅度 、 
相位 和 频率 等 ) 可 以 表示 要 传送 的 信息 。 电 话机 送 话 器 输出 的 话音 信号 、 电 视 摄 像 机 产生 的 图 
像 信号 等 都 是 模拟 信号 。 数字 信号 只 取 有 限 个 离散 值 , 而 且 数字 信号 之 间 的 转换 几乎 是 瞬时 的 ， 
数字 信号 以 某 一 瞬间 的 状态 表示 它们 传送 的 信息 。 
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如 果 信 源 产生 的 是 模拟 数据 并 以 模拟 信道 传输 ， 则 叫 作 模拟 通信 ;如 果 信 源 发 出 的 是 模拟 
数据 且 以 数字 信号 的 形式 传输 ， 那 么 这 种 通信 方式 叫 数字 通信 。 如 果 信 源 发 出 的 是 数字 数据 ， 
当然 也 可 以 有 两 种 传输 方式 ， 这 时 无 论 是 用 模拟 信号 传输 或 是 用 数字 信号 传输 都 叫 作 数据 通 
信 。 可 见 ， 数 据 通信 是 专 指 信 源 和 信 宿 中 数据 的 形式 是 数字 的 ， 在 信道 中 传输 时 可 以 根据 需要 
采用 模拟 传输 方式 或 数字 传输 方式 。 

在 模拟 传输 方式 中 ， 数 据 进入 信道 之 前 要 经 过 调制 ， 变 换 为 模拟 的 调制 信号 。 由 于 调制 信 
号 的 频谱 较 罕 ,因此 信道 的 利用 率 较 高 。 模 拟 信 号 在 传输 过 程 中 会 衰减 , 还 会 受到 噪声 的 干扰 ， 
如 果 用 放大 器 将 信号 放大 , 混入 的 噪声 也 被 放大 了 , 这 是 模拟 传输 的 缺点 。 在 数字 传输 方式 中 ， 
可 以 直接 传输 二 进 制 数据 或 经 过 二 进 制 编码 的 数据 ， 也 可 以 传输 数字 化 了 的 模拟 信号 。 因 为 数 
字 信 号 只 取 有 限 个 离散 值 ， 在 传输 过 程 中 即使 受到 噪声 的 干扰 ， 只 要 没有 畸变 到 不 可 辨认 的 程 
度 ， 就 可 以 用 信号 再 生 的 方法 进行 恢复 ， 对 某 些 数码 的 差错 也 可 以 用 差错 控制 技术 加 以 消除 。 
所 以 ， 数 字 传 输 对 于 信号 不 失真 地 传送 是 非常 有 好 处 的 。 另 外 ， 数 字 设 备 可 以 大 规模 集成 ， 比 
复杂 的 模拟 设备 便宜 得 多 。 然 而 ， 传 输 数 字 信 号 比 传输 模拟 信号 所 要 求 的 频带 要 宽 得 多 ， 因 而 
信道 利用 率 较 低 。 


2.2 ”信道 特性 


2.2.1 信道 带宽 
模拟 信道 的 带宽 如 图 2-2 所 示 。 信 道 带宽 了 户 矿 ， 其 中 , 万 是 信道 能 通过 的 最 低频 率 ， 万 
是 信道 能 通过 的 最 高 频率 ， 两 者 都 是 由 信道 的 物理 特性 决定 的 。 当 组 成 信道 的 电路 制 成 了 ， 信 
道 的 带宽 就 决定 了 。 为 了 使 信号 传输 中 的 失真 小 一 些 ， 信 道 要 有 足够 的 带宽 。 
信号 
下 


=/f/Hz 


图 2-2 模拟 信道 的 带宽 
数字 信道 是 一 种 离散 信道 ， 它 只 能 传送 取 离 散 值 的 数字 信和 号。 信道 的 带宽 决定 了 信道 中 能 
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不 失真 地 传输 的 脉冲 序列 的 最 高 速率 。 一 个 数字 脉冲 称 为 一 个 码 元 ， 用 码 元 速率 表示 单位 时 间 
内 信号 波形 的 变换 次 数 ， 即 单位 时 间 内 通过 信道 传输 的 码 元 个 数 。 若 信号 码 元 宽度 为 了 秒 ， 则 
码 元 速率 B-1/7。 码 元 速率 的 单位 叫 波 特 (Baud)， 所 以 码 元 速率 也 叫 波 特 率 。 早 在 1924 年 ， 
贝尔 实验 室 的 研究 员 享 利 。 奈 奎 斯 特 (Harry Nyquist) 就 推导 出 了 有 限 带宽 无 噪声 信道 的 极限 
波 特 率 ， 称 为 尼 硅 斯 特定 理 。 若 信道 带宽 为 责 则 尼 硅 斯 特定 理 指出 最 大 码 元 速率 为 
B=2W (Baud) 

奈奈 斯 特定 理 指 定 的 信道 容量 也 叫 作 奈奈 斯 特 极限 ， 这 是 由 信道 的 物理 特性 决定 的 。 超 过 
奈奈 斯 特 极限 传送 脉冲 信号 是 不 可 能 的 ， 所 以 要 进一步 提高 波 特 率 必须 改善 信道 带宽 。 

码 元 携带 的 信息 量 由 码 元 取 的 离散 值 的 个 数 决定 。 若 码 元 取 两 个 离散 值 ， 则 一 个 码 元 携带 
1 位 信息 。 若 码 元 可 取 4 种 离散 值 ， 则 一 个 码 元 携带 两 位 信息 。 总 之 ， 一 个 码 元 携带 的 信息 量 
1《 位 ) 与 码 元 的 种 类 数 W 有 如 下 关系 

1=log2V (N=2") 

单位 时 间 内 在 信道 上 传送 的 信息 量 〈 位 数 ) 称 为 数据 速率 。 在 一 定 的 波 特 率 下 提高 速率 的 
途径 是 用 一 个 码 元 表示 更 多 的 位 数 。 如 果 把 两 位 编码 为 一 个 码 元 ， 则 数据 速率 可 成 倍 提高 。 有 
公式 

R=B logyN=2W logsN (bps) 

其 中 ，R 表示 数据 速率 ， 单 位 是 每 秒 位 bps 或 b/s)。 

数据 速率 和 波 特 率 是 两 个 不 同 的 概念 。 仅 当 码 元 取 两 个 离散 值 时 两 者 的 数值 才 相 等 。 对 于 
普通 电话 线路 ， 带 宽 为 3000Hz， 最 高 波 特 率 为 6000Baud， 最 高 数据 速率 可 随 着 调制 方式 的 不 
同 而 取 不 同 的 值 。 这些 都 是 在 无 噪声 的 理想 情况 下 的 极限 值 。 实际 信道 会 受到 各 种 噪声 的 干扰 ， 
因而 远 远 达 不 到 按 奈奈 斯 特定 理 计算 出 的 数据 传送 速率 。 香 农 〈Shannon) 的 研究 表明 ， 有 了 品 
声 信道 的 极限 数据 速率 可 由 下 面 的 公式 计算 


Ss 
C=WI ( 弓 ] 
og, 


这 个 公式 叫 作 香农 定理 ， 其 中 ， 刺 为 信道 带宽 ，S$ 为 信号 的 平均 功率 ，N 为 噪声 平均 功率 ， 
SN 叫 作 信 品 比 。 由 于 在 实际 使 用 中 5 与 的 比值 太 大 ， 故 常 取 其 分 贝 数 〈dB)。 分 贝 与 信 品 
比 的 关系 为 


Ss 
dB=10logio I 


例如 ， 当 S/N=1000 时 ， 信 噪 比 为 304B。 这 个 公式 与 信号 取 的 离散 值 的 个 数 无 关 ， 也 就 是 
说 ， 无 论 用 什么 方式 调制 ， 只 要 给 定 了 信 噪 比 ， 则 单位 时 间 内 最 大 的 信息 传输 量 就 确定 了 。 例 
如 ， 信 道 带 宽 为 3000Hz， 信 品 比 为 304B， 则 最 大 数据 速率 为 
C=3000logs(1+1000)~3000X 9.97~~30 000bps 
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这 是 极限 值 , 只 有 理论 上 的 意义 。 实际 上 , 在 3000Hz 带宽 的 电话 线 上 数据 速率 能 达到 9600bps 
就 很 不 错 了 。 

综 上 所 述 ， 有 两 种 带宽 的 概念 ， 在 模拟 信道 ， 带 宽 按 照 公 式 5p- 天 计算 ,例如 CATV 电 
缆 的 带宽 为 600MHz 或 1000MHz; 数字 信道 的 带宽 为 信道 能 够 达到 的 最 大 数据 速率 , 例如 以 太 
网 的 带宽 为 10Mbps 或 100Mbps。 两 者 可 互相 转换 。 


2.2.2 误 码 率 


在 有 噪声 的 信道 中 ,数据 速率 的 增加 意味 着 传输 中 出 现 差错 的 概率 增加 。 用 误 码 率 来 表示 
传输 二 进 制 位 时 出 现 差错 的 概率 。 误 码 率 可 用 下 式 表示 
Pp = 六 (出 错 的 位 数 ) 
“ NM( 传 送 的 总 位 数 ) 
在 计算 机 通信 网 络 中 ， 误 码 率 一 般 要 求 低 于 104“， 即 平均 每 传送 1 兆 位 才 人 允许 错 1 位 。 在 
误 码 率 低 于 一 定 的 数值 时 ， 可 以 用 差错 控制 的 办 法 进行 检查 和 纠正 。 


2.2.3 ”信道 延迟 


信号 在 信道 中 传播 , 从 源 端 到 达 宿 端 需 要 一 定 的 时 间 。 这 个 时 间 与 源 端 和 宿 端 的 距离 有 关 ， 
也 与 具体 信道 中 的 信号 传播 速度 有 关 。 以 后 考虑 的 信号 主要 是 电信 号 ， 这 种 信号 一 般 以 接近 光 
速 的 速度 (300myhs) 传播 ， 但 随 传输 介质 的 不 同 而 略 有 差别 。 例 如 ， 在 电费 中 的 传播 速度 一 
般 为 光速 的 77%， 即 200myhs 左右 。 

一 般 来 说 ， 考 虑 信号 从 源 端 到 达 宿 端的 时 间 是 没有 意义 的 ， 但 对 于 一 种 具体 的 网 络 ， 我 们 
经 常 对 该 网 络 中 相距 最 远 的 两 个 站 之 间 的 传播 时 延 感 兴趣 。 这 时 除了 要 计算 信号 传播 速度 外 ， 
还 要 知道 网 络 通信 线路 的 最 大 长 度 。 例 如 ，500m 同 轴 电 缆 的 时 延 大 约 是 2.5Shs， 而 卫星 信道 的 
时 延 大 约 是 270ms。 时 延 的 大 小 对 某 些 网 络 应 用 (例如 交互 式 应 用 ) 有 很 大 影响 。 


2.3 ”传输 介质 

计算 机 网 络 中 可 以 使 用 各 种 传输 介质 来 组 成 物理 信道 。 这 些 传输 介质 的 特性 不 同 ， 因 而 合 
用 的 网 络 技术 不 同 ， 应 用 的 场合 也 不 同 。 下 面 简要 介绍 各 种 常用 的 传输 介质 的 特点 。 
2.3.1 双 绞 线 


双 绞 线 由 粗 约 lmm 的 互相 绝缘 的 一 对 铜 导 线 绞 扭 在 一 起 组 成 ， 对 称 均匀 地 绞 扭 可 以 减少 
线 对 之 间 的 电磁 干扰 。 这 种 双 绞 线 大 量 使 用 在 传统 的 电话 系统 中 ， 适 用 于 短 距离 传输 ， 若 超过 
儿 千 米 , 就 要 加 入 中 继 器 。 在 局 域 网 中 可 以 使 用 双 绞 线 作 为 传输 介质 ， 如果 选 用 高 质量 的 芯 线 ， 
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采用 适当 的 驱动 和 接收 技术 ， 安 装 时 避 开 噪声 源 ， 在 几 百 米 之 内 数据 的 传输 速率 可 达 每 秒 几 十 
兆 位 。 

双 绞 线 分 为 屏蔽 双 绞 线 和 无 屏蔽 双 绞 线 , 如 图 2-3 所 示 。 常用 的 无 屏蔽 双 绞 线 电线 (Unshielded 
Twisted Pair，UTP) 由 不 同 颜色 的 〈 橙 、 绿 、 蓝 、 棕 ) 4 对 双 绞 线 组 成 。 屏 蔽 双 绞 线 (Shielded 
Twisted Pair，STP) 电缆 的 外 层 由 铝 稍 包 右 着 ， 价 格 相对 高 一 些 ， 并 且 需 要 支持 屏蔽 功能 的 特 
殊 连 接 器 和 适当 的 安装 技术 , 但 是 传输 速率 比 相应 的 无 屏蔽 双 绞 线 高 。 国际 电气 工业 协会 (EIA) 

定义 了 双 绞 线 电缆 各 种 不 同 的 型 号 ， 计 算 机 综合 布线 使 用 的 双 绞 线 种 类 如 表 2-1 所 示 。 


无 屏蔽 双 绞 线 UTP 屏蔽 双 绞 线 STP 
一 人 (人 从 (WE 一 
NK NNES= 
NAN 
聚 毛 乙 炳 套 层 绝缘 层 铜 线 聚 毛 乙 炳 套 层 屏蔽 层 。 绝缘 层 铜 线 


图 2-3 无 屏蔽 双 绞 线 和 屏蔽 双 绞 线 


表 2-1 计算 机 综合 布线 使 用 的 双 绞 线 
双 绞 线 种 类 
屏蔽 双 绞 线 


无 屏蔽 双 绞 线 


由 于 双 绞 线 价格 便宜 ， 安 装 容易 ， 适 用 于 结构 化 综合 布线 ， 所 以 得 到 了 广泛 使 用 。 通 常 在 
局 域 网 中 使 用 的 无 屏蔽 双 绞 线 的 传送 速率 是 10Mbps 或 100Mbps， 随 着 网 卡 技术 的 发 展 ， 短 距离 
甚至 可 以 达到 1000Mbps。 


2.3.2 ” 同 轴 电 绕 


同 轴 电 线 的 芯 线 为 铜 质 导 线 ， 外 包 一 层 绝缘 材料 ， 再 外 面 是 由 细 铜 丝 组 成 的 网 状 外 导体 ， 
最 外 面 加 一 层 绝缘 塑料 保护 层 ， 如 图 2-4 所 示 。 芯 线 与 网 状 导体 同 轴 ， 故 名 同 轴 电 缆 。 同 轴 电 
缆 的 这 种 结构 ， 使 它 具有 高 带宽 和 极 好 的 噪声 抑制 特性 。 


加 > 医 
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绝缘 保护 层 屏蔽 层 外 导体 绝缘 层 


图 2-4 同 轴 电 费 


在 局 域 网 中 常用 的 同 轴 电 缆 有 两 种 ,一 种 是 特性 阻抗 为 50Q 的 同 轴 电 缆 , 用 于 传输 数字 信 
号 ， 例 如 RG-8 或 RG-11 粗 绕 和 RG-58 细 缆 。 粗 同 轴 电 线 适 用 于 大 型 局 域 网 , 它 的 传输 距离 长 ， 
可 靠 性 高 ， 安 装 时 不 需要 切断 电缆 ， 用 夹板 装置 夹 在 计算 机 需要 连接 的 位 置 。 但 粗 缆 必 须 安装 
外 收发 器 ， 安 装 难度 大 ， 总 体 造 价 高 。 细 缆 则 容易 安装 ， 造 价 低 ， 但 安装 时 要 切断 电缆 ， 装 上 
BNC 接头 , 然后 连接 在 T 型 连接 器 两 端 ， 所 以 容易 产生 接触 不 良 或 接头 短路 的 隐患 ， 这 是 以 太 
网 运行 中 常见 的 故障 。 

通常 把 表示 数字 信号 的 方 波 所 固有 的 频带 称 为 基带 ， 所 以 这 种 电缆 也 叫 基带 同 轴 电 缆 ， 直 
接 传输 方 波 信号 称 为 基带 传输 。 由 于 计算 机 产生 的 数字 信号 不 适合 长 距离 传输 ， 所 以 在 信号 进 
入 信道 前 要 经 过 编码 器 进行 编码 ， 变 成 适合 于 传输 的 电磁 代码 。 经 过 编码 的 数字 信号 到 达 接 收 
端 ， 再 经 译 码 器 恢复 为 原来 的 二 进 制 数字 数据 。 基 带 系统 的 优点 是 安装 简单 而 且 价格 便宜 ， 但 
由 于 在 传输 过 程 中 基带 信号 容易 发 生 畸 变 和 衰减 ， 所 以 传输 距离 不 能 太 长 。 一 般 在 1 km 以 内 ， 
典型 的 数据 速率 是 10Mbps 或 100Mbps。 

常用 的 另 一 种 同 轴 电 绕 是 特性 阻抗 为 75 的 CATV 电缆 (RG-59)， 用 于 传输 模拟 信号 
这 种 电线 也 叫 宽带 同 轴 电 绕 。 所 谓 宽带 ， 在 电话 行业 中 是 指 比 4 kHz 更 宽 的 频带 ， 而 这 里 是 泛 
指 模拟 传输 的 电缆 网络 。 要 把 计算 机 产生 的 比特 流 变 成 模拟 信号 在 CATV 电缆 上 传输 ， 在 发 送 
端 和 接收 端 要 分 别 加 入 调制 器 和 解 调 器 。 采 用 适当 的 调制 技术 ， 一 个 6MHz 的 视频 信道 的 数据 
速率 可 以 达到 36Mbps。 通常 采用 频 分 多 路 技术 (FDM), 把 整个 CATV 电线 的 带宽 (1000MHz) 
划分 为 多 个 独立 的 信道 ， 分 别传 输 数据 、 声 音 和 视频 信号 ， 实 现 多 种 通信 业务 。 这 种 传输 方式 
称 为 综合 传输 ， 适 合 于 在 办 公 自 动 化 环境 中 应 用 。 

宽带 系统 与 基带 系统 的 主要 区 别 是 模拟 信号 经 过 放大 器 后 只 能 单 向 传输 。 为 了 实现 网 络 节 
点 间 的 相互 连通 ， 有 时 要 把 整个 带宽 划分 为 两 个 频段 ， 分 别 在 两 个 方向 上 传送 信号 ， 这 叫 分 裂 
配置 。 有 时 用 两 根 电线 分 别 在 两 个 方向 上 传送 ， 这 叫 双 线 配置 。 虽 然 两 根 电线 比 单 根 电 绕 的 价 
格 要 贵 一 些 (大约 贵 15%)， 但 信道 容量 却 提高 1 倍 多 。 无 论 是 分 裂 配 置 还 是 双 线 配置 都 要 使 用 一 
个 叫 作 端 头 (headend) 的 设备 。 该 设备 安装 在 网 络 的 一 端 ， 它 从 一 个 频率 (或 一 根 电线 ) 接收 
所 有 站 发 出 的 信号 ， 然 后 用 另 一 个 频率 (或 电线 ) 发 送出 去 。 

宽带 系统 的 优点 是 传输 距离 远 ， 可 达 几 十 千 米 ， 而 且 可 同时 提供 多 个 信道 。 然 而 和 基带 
系统 相 比 ， 它 的 技术 更 复杂 ， 需 要 专门 的 射频 技术 人 员 安 装 和 维护 ， 宽 带 系统 的 接口 设备 也 更 


3 
外 页 。 
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2.3.3 光缆 


光缆 由 能 传送 光波 的 超 细 玻 璃 纤维 制 成 ， 外 包 一 层 比 玻璃 折射 率 低 的 材料 。 进 入 光纤 的 光 
波 在 两 种 材料 的 界面 上 形成 全 反射 ， 从 而 不 断 地 向 前 传播 ， 如 图 2-5 所 示 。 

光纤 信道 中 的 光源 可 以 是 发 光 二 极 管 (Light Emitting Diode，LED) 或 注入 式 激光 二 极 管 
(Injection Laser Diode，ILD)。 这 两 种 器 件 在 有 电流 通过 时 都 能 发 出 光 脉 冲 ， 光 脉冲 通过 光 导 纤 
维 传播 到 达 接 收 端 。 接 收 端 有 一 个 光 检 测 器 一 一 光电 二 极 管 ， 它 遇 光 时 产生 电信 号 ， 这 样 就 形 
成 了 一 个 单 向 的 光 传输 系统 , 类 似 于 单 向 传输 模拟 信号 的 宽带 系统 。 如果 采用 另外 的 互 连 方式 ， 
把 所 有 的 通信 节点 通过 光线 连接 成 一 个 环 ， 环 上 的 信号 虽然 是 单 向 传播 ， 但 任 一 节点 发 出 的 信 
息 其 他 节点 都 能 收 到 ， 从 而 也 达到 了 互相 通信 的 目的 ， 如 图 2-6 所 示 。 
铜 线 


| 光 传 播 方向 
0 ) UL 


光纤 光 接 信号 光 发 送 
收 器 二 和 加 光 发 送 器 


图 2-5 光纤 的 传输 原理 图 2-6 光纤 环 网 


光波 在 光 导 纤维 中 以 多 种 模式 传播 ,不 同 的 传播 模式 有 不 同 的 电磁 场 分 布 和 不 同 的 传播 路 
径 ， 这 样 的 光纤 叫 多 模 光 纤 〈 如 图 2-7 (a) 所 示 )。 光 波 在 光纤 中 以 什么 模式 传播 ， 这 与 芯 线 和 包 
层 的 相对 折射 率 、 芯 线 的 直径 以 及 工作 波长 有 关 。 如 果 芯 线 的 直径 小 到 光波 波长 大 小 ， 则 光纤 
就 成 为 波导 ， 光 在 其 中 无 反射 地 沿 直线 传播 ， 这 种 光纤 叫 单 模 光 纤 〈 如 图 2-7 (b) 所 示 )。 单 
模 光 纤 比 多 模 光 纤 的 价格 更 贵 。 


外 人 ~ ll 


(a) 多 模 光 纤 (b) 单 模 光 纤 
图 2-7 多 模 光纤 与 单 模 光纤 


光 导 纤维 作为 传输 介质 ， 其 优点 是 很 多 的 。 首 先是 它 具 有 很 高 的 数据 速率 、 极 宽 的 频带 、 
低 误 码 率 和 低 延 迟 。 数 据 传输 速率 可 达 1000Mbps， 甚 至 更 高 ， 而 误 码 率 比 同 轴 电 缆 可 低 两 个 数 
量 级 ， 只 有 10”。 其 次 是 光 传 输 不 受 电磁 干扰 ， 不 可 能 被 偷 听 ， 因 而 安全 和 保密 性 能 好 。 最 后 ， 光 
纤 重 量 轻 、 体 积 小 、 铺 设 容易 。 
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2.3.4 无 线 信 道 


前 面 提 到 的 由 双 绞 线 、 同 轴 电 缆 和 光纤 等 传输 介质 组 成 的 信道 可 统称 为 有 线 信道 。 这 里 要 
讲 到 的 信道 都 是 通过 空间 传播 信号 ， 称 之 为 无 线 信道 。 无 线 信道 包括 微波 、 红 外 和 短波 信道 ， 
下 面 简略 介绍 这 3 种 信道 的 特点 。 

微波 通信 系统 可 分 为 地 面 微波 系统 和 卫星 微波 系统 ， 两 者 的 功能 相似 ， 但 通信 能 力 有 很 大 
的 差别 。 地 面 微波 系统 由 视 距 范围 内 的 两 个 互相 对 准 方向 的 抛物 面 天 线 组 成 ， 长 距离 通信 则 需 
要 多 个 中 继 站 组 成 微波 中 继 链 路 。 在 计算 机 网 络 中 使 用 地 面 微波 系统 可 以 扩展 有 线 信道 的 连通 
范围 ， 例 如 在 大 楼 项 上 安装 微波 天 线 ， 使 得 两 个 大 楼 中 的 局 域 网 互相 连通 ， 这 可 能 比 挖 地 沟 埋 
电费 的 花费 更 少 。 

通信 卫星 可 看 作 是 悬 在 太空 中 的 微波 中 继 站 。 卫 星 上 的 转发 器 把 波束 对 准 地球 上 的 一 定 区 
域 ， 在 此 区 域 中 的 卫星 地 面 站 之 间 就 可 互相 通信 。 地 面 站 以 一 定 的 频率 段 向 卫星 发 送信 息 〈 称 
为 上 行 频段 )， 卫 星 上 的 转发 器 将 接收 到 的 信号 放大 并 变换 到 另 一 个 频段 上 〈 称 下 行 频段 ) 发 
回 地 面 接收 站 。 这 样 的 卫星 通信 系统 可 以 在 一 定 的 区 域内 组 成 广播 式 通信 网 络 ， 特 别 适 合 于 海 
上 、 室 中 、 矿 山 、 油 田 等 经 常 移动 的 工作 环境 。 卫 星 传输 供应 商 可 以 将 卫星 信道 划分 成 许多 子 
信道 出 租 给 商业 用 户 ， 用 户 安装 甚 小 孔径 终端 系统 (VSAT) 组 成 卫星 专用 网 ， 地 面 上 的 集中 
站 作为 收发 中 心 与 用 户 交换 信息 。 

微波 通信 的 频率 段 为 吉兆 段 的 低 端 ， 一 般 是 1 一 11GHz， 因 而 它 具 有 带宽 高 、 容 量 大 的 特 
点 。 由 于 使 用 了 高 频率 ， 因 此 可 使 用 小 型 天 线 ， 便 于 安装 和 移动 。 不 过 微波 信号 容易 受到 电磁 
和 干扰， 地 面 微 波 通信 也 会 造成 相互 之 间 的 干扰 ， 大 气 层 中 的 雨 雪 会 大 量 吸 收 微波 信号 ， 当 长 距 
离 传 输 时 会 使 得 信号 衰减 以 至 无 法 接收 。 另 外 ， 通 信 卫 星 为 了 保持 与 地 球 自转 同步 ， 一 般 停 在 
36 000km 的 高 室 。 这 样 长 的 距离 会 造成 240 一 280ms 的 时 延 ， 在 利用 卫星 信道 组 网 时 ， 这 样 长 的 时 
延 是 必须 考虑 的 因素 。 

最 新 采用 的 无 线 传输 介质 要 算 红外 线 了 《如 图 2-8 所 示 )。 红 外 传输 系统 利用 墙壁 或 屋顶 反射 
红外 线 从 而 形成 整个 房间 内 的 广播 通信 系统 。 这 种 系统 所 用 的 红外 光 发 射 器 和 接收 器 常见 于 电 
视 机 的 遥控 装置 中 。 红 外 通信 的 设备 相对 便宜 ， 可 获得 高 的 带宽 ， 这 是 这 种 通信 方式 的 优点 。 
其 缺点 是 传输 距离 有 限 ， 而 且 易 受 室内 空气 状态 (例如 有 烟雾 等 ) 的 影响 。 

无 线 电 短 波 通信 早已 用 在 计算 机 网 络 中 了 ， 已 经 建成 的 无 线 通信 局 域 网 使 用 了 甚 高 频 
(30 一 300MHz) 和 超 高 频 (300 一 3000MHz) 的 电视 广播 频段 ， 这 个 频段 的 电磁 波 是 以 直线 方 
式 在 视 距 范围 内 传播 的 ， 所 以 用 作 局 部 地 区 的 通信 和 是 适宜 的 。 早 期 的 无 线 电 局 域 网 (例如 
ALOHA 系 统 ) 是 中 心 式 结构 一 一 有 一 个 类 似 于 通信 卫星 那样 的 中 心 站 , 每 一 个 主机 节点 都 把 天 
线 对 准 中 心 站 ， 并 以 频率 矿 向 中 心 站 发 送信 息 ， 这 就 是 上 行 线路 ; 中心 站 向 各 主机 节点 发 送信 
息 时 采用 另外 一 个 频率 万 进行 广播 ， 这 叫 下 行 线路 。 采 用 这 种 网 络 通信 方式 要 解决 好 上 行 线路 
中 由 于 两 个 以 上 的 站 同时 发 送信 息 而 发 生 冲 突 的 问题 。 后 来 的 无 线 电 局 域 网 采用 分 布 式 结 
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构 一 一 没有 中 心 站 , 节点 机 的 天 线 是 没有 方向 
的 ， 每 个 节点 机 都 可 以 发 送 或 接收 信息 。 这 种 
通信 方式 适合 于 由 微机 工作 站 组 成 的 资源 分 
布 系统 , 在 不 便于 建设 有 线 通信 线路 的 地 方 可 
以 快速 建成 计算 机 网 络 。 短波 通信 设备 比较 便 
宜 , 便于 移动 , 没有 像 地 面 微波 站 那样 的 方向 


性 ， 并 且 中 继 站 可 以 传送 很 远 的 距离 。 但 是 ， 计算 机 计算 机 计算 机 
这 种 情况 容易 受到 电磁 干扰 和 地 形 地 狐 的 影 

响 ， 而 且 带 宽 比 微波 通信 要 小 。 图 2-8 红外 传输 
2.4 数据 编码 


二 进 制 数字 信息 在 传输 过 程 中 可 以 采用 不 同 的 代码 ,各 种 代码 的 抗 噪声 特性 和 定时 功能 各 
不 相同 ， 实 现 费 用 也 不 一 样 。 下 面 介绍 几 种 常用 的 编码 方案 ， 如 图 2-9 所 示 。 
单 极 性 码 
极 性 码 
双 极 性 码 
归 零 码 
双 相 码 
不 归 零 码 
曼彻斯特 编码 


差分 曼彻斯特 编码 


le+ 1e+ S++lieo+t+tlIS+1Seo+1o+16o+ 


编码 


图 2-9 常用 编码 方案 
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1. 单 极 性 码 


在 这 种 编码 方案 中 ， 只 用 正 的 《或 负 的 ) 电压 表示 数据 。 例 如 ， 在 图 2-9 中 用 +3V 表示 二 
进 制 数字 “0”， 用 0V 表示 二 进 制 数字 “1”。 单 极 性 码 用 在 电 传 打字 机 (TTY) 接口 以 及 PC 
与 TTY 兼容 的 接口 中 ， 这 种 代码 需要 单独 的 时 钟 信 号 配合 定时 ， 否 则 ， 当 传送 一 长 串 0 或 1 
时 ， 发 送 机 和 接收 机 的 时 钟 将 无 法 定时 ， 单 极 性 码 的 抗 噪声 特性 也 不 好 。 


2. 极 性 码 


在 这 种 编码 方案 中 ,分别 用 正 电 压 和 负电 压 表示 二 进 制 数 “0” 和 “1”。 例 如， 在 图 2-9 中 用 
+3V 表示 二 进 制 数字 “0”， 用 -3V 表示 二 进 制 数字 “1”。 这 种 代码 的 电 平 差 比 单 极 码 大 ， 因 而 
抗 干扰 特性 好 ， 但 仍然 需要 另外 的 时 钟 信 号 。 


3， 双 极 性 码 


在 双 极 性 编码 方案 中 ， 信 号 在 3 个 电 平 ( 正 、 负 、 零 ) 之 间 变 化 。 一 种 典型 的 双 极 性 码 就 
是 所 谓 的 信号 交替 反 转 编码 (Alternate Mark Inversion，AMI)。 在 AMI 信号 中 ， 数 据 流 中 遇 到 
“1” 时 使 电 平 在 正和 负 之 间 交 替 翻 转 ， 而 遇 到 “0” 时 则 保持 零 电 平 。 双 极 性 是 三 进 制 信号 编 
码 方法 ， 它 与 二 进 制 编码 相 比 抗 噪声 特性 更 好 。AMI 有 其 内 在 的 检 错 能 力 ， 当 正 负 脉冲 交 替 出 
现 的 规律 被 打 乱 时 容易 识别 出 来 ,这 种 情况 叫 AMI 违例 .这 种 编码 方案 的 缺点 是 当 传 送 长 串 "0” 
时 会 失去 位 同步 信息 。 对 此 稍 加 改进 的 一 种 方案 是 “6 零 取代 ” 双 极 性 码 B6ZS, 即 把 连续 6 个 “0” 
用 一 组 代码 代替 。 这 一 组 代码 中 若 含有 AMI 违例 ， 便 可 以 被 接收 机 识别 出 来 。 


4. 归 零 码 


在 归 零 码 (Retum to Zero，RZ) 中 ， 码 元 中 间 的 信号 回归 到 零 电 平 ， 因 此 ， 任 意 两 个 码 元 
之 间 被 零 电 平 隔 开 。 与 以 上 仅 在 码 元 之 间 有 电 平 转换 的 编码 方案 相 比 ， 这 种 编码 方案 有 更 好 的 
噪声 抑制 特性 。 因 为 噪声 对 电 平 的 干扰 比 对 电 平 转换 的 干扰 要 强 ， 而 这 种 编码 方案 是 以 识别 电 
平 转换 边 来 判别 “0” 和 “1” 信 号 的 。 图 2-9 中 表示 出 的 是 一 种 双 极 性 归 零 码 。 可 以 看 出 ， 从 
正 电 平 到 零 电 平 的 转换 边 表 示 码 元 “0”， 从 负电 平 到 零 电 平 的 转换 边 表示 码 元 “1”， 同时 每 一 
位 码 元 中 间 都 有 电 平 转换 ， 使 得 这 种 编码 成 为 自 定时 的 编码 。 


5. 双 相 码 


双 相 码 要 求 每 一 位 中 都 要 有 一 个 电 平 转换 。 因 而 这 种 代码 的 最 大 优点 是 自 定时 ， 同 时 双 相 
码 也 有 检测 错误 的 功能 ， 如 果 某 一 位 中 间 缺 少 了 电 平 翻转 ， 则 被 认为 是 违例 代码 。 
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6. 不 归 零 码 


图 2-9 中 所 示 的 不 归 零 码 (Not Retum to Zero，NRZ) 的 规律 是 当 “1” 出 现时 电 平 翻转 ， 
当 “0” 出 现时 电 平 不 翻转 。 因 而 数据 “1” 和 “0” 的 区 别 不 是 高 低 电 平 ， 而 是 电 平 是 否 转换 。 
这 种 代码 也 叫 差分 码 ， 用 在 终端 到 调制 解 调 器 的 接口 中 。 这 种 编码 的 特点 是 实现 起 来 简单 而 且 
费用 低 ， 但 不 是 自 定时 的 。 


7， 曼彻斯特 编码 


曼彻斯特 编码 (Manchester Code) 是 一 种 双 相 码 。 在 图 2-9 中 ， 用 高 电 平 到 低 电 平 的 转换 
边 表示 “0”， 用 低 电 平 到 高 电 平 的 转换 边 表 示 “1”， 相反 的 表示 也 是 允许 的 。 位 中 间 的 电 平 转 
换 边 既 表示 了 数据 代码 ， 同 时 也 作为 定时 信号 使 用 。 曼 彻 斯 特 编码 用 在 以 太 网 中 。 


8.， 差分 曼彻斯特 编码 


这 种 编码 也 是 一 种 双 相 码 ， 和 曼彻斯特 编码 不 同 的 是 ， 这 种 码 元 中 间 的 电 平 转换 边 只 作为 
定时 信号 ， 不 表示 数据 。 数 据 的 表示 在 于 每 一 位 开始 处 是 否 有 电 平 转 换 ; 有 电 平 转换 表示 “0”， 
无 电 平 转 换 表示 “1"。 差 分 曼彻斯特 编码 用 在 令 牌 环 网 中 。 

从 曼彻斯特 码 和 差分 曼彻斯特 码 的 图 形 中 可 以 看 出 ， 这 两 种 双 相 码 的 每 一 个 码 元 都 要 调制 
为 两 个 不 同 的 电 平 ， 因 而 调制 速率 是 码 元 速率 的 2 倍 。 这 对 信道 的 带宽 提出 了 更 高 的 要 求 ， 所 
以 实现 起 来 更 困难 也 更 晶 贵 。 但 由 于 其 良好 的 抗 噪声 特性 和 自 定时 功能 ， 在 局 域 网 中 仍 被 广泛 
使 用 。 

9， 多 电 平 编码 


这 种 编码 的 码 元 可 取 多 个 电 平 之 一 ， 每 个 码 元 可 代表 几 个 二 进 制 位 。 例 如 ， 令 M= 2"， 设 
M=4， 则 n=2。 若 表示 码 元 的 脉冲 取 4 个 电 平 之 一 ， 则 一 个 码 元 可 表示 两 个 二 进 制 位 。 与 双 相 
码 相 反 ， 多 电 平 码 的 数据 速率 大 于 波 特 率 ， 因 而 可 提高 频带 的 利用 率 。 但 是 这 种 代码 的 抗 噪声 
特性 不 好 ， 在 传输 过 程 中 信号 容易 畸变 到 无 法 区 分 。 

在 数据 通信 中 ， 选 择 什么 样 的 数据 编码 要 根据 传输 的 速度 、 信 道 的 带宽 、 线 路 的 质量 以 及 
实现 的 价格 等 因素 综合 考虑 。 


10. 4B/SB 编码 


在 曼彻斯特 编码 和 差分 曼彻斯特 编码 中 ， 每 位 中 间 都 有 一 次 电 平 跳 变 ， 因 此 波 特 率 是 数据 
速率 的 两 倍 。 对 于 100Mbps 的 高 速 网 络 ， 如 果 采 用 这 类 编码 方法 ， 就 需要 200 兆 的 波 特 率 ， 其 
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硬件 成 本 是 100 光波 特 率 硬件 成 本 的 5 一 10 倍 。 
为 了 提高 编码 的 效率 ， 降 低 电 路 成 本 ， 可 以 采用 4B/5B 编码 。 这 种 编码 方法 的 原理 如 图 2-10 


所 示 。 


1111 


4 位 符号 一 一 一 | 


5 位 码 组 


4B/5B 11101 NRZ/NRZ-I 
译 码 器 | “| 译 码 器 


图 2-10 4B/5B 编码 


介质 


这 实际 上 是 一 种 两 级 编码 方案 。 系 统 中 使 用 不 归 零 码 ， 在 发 送 到 传输 介质 之 前 要 变 成 见 1 
就 翻 不 归 零 码 (NRZ-D)。NRZ-I 代 码 序列 中 1 的 个 数 越 多 ， 越 能 提供 同步 定时 信息 ， 但 如 果 遇 
到 长 串 的 0， 则 不 能 提供 同步 信息 。 所 以 在 发 送 到 介质 之 前 还 需 经 过 一 次 4B/5B 编码 ， 发 送 器 
扫描 要 发 送 的 位 序列 ，4 位 分 为 一 组 ， 然 后 按照 表 2-2 的 对 应 规则 变换 成 5 位 的 代码 。 


十 六 进 制 数 ”| 4 位 二 进 制 数 
0 0000 
1 0001 
人 0010 
3 0011 
4 0100 
和 0101 
6 0110 
7 0111 


表 2-2 4B/5B 编码 规则 


十 六 进 制 数 


lo | A 
| ooo | ec 
| om | = 


4 位 二 进 制 数 4B/5B 编码 


1000 
1001 
1010 
1011 
1100 
1101 
1110 
1111 


10010 
10011 
10110 
10111 
11010 
11011 
11100 
11101 


5 位 二 进 制 代码 的 状态 共有 32 种 ， 在 表 2-2 中 选用 的 5 位 代码 中 1 的 个 数 都 不 少 于 两 个 。 
这 就 保证 了 在 介质 上 传输 的 代码 能 提供 足够 多 的 同步 信息 。 另 外 ,还 有 8B/10B 编码 等 方法 ,其 原 


理 是 类 似 的 。 


2.5 ”数字 调制 技术 


数字 数据 不 仅 可 以 用 方 波 脉冲 传输 ， 也 可 以 用 模拟 信号 传输 。 用 数字 数据 调制 模拟 信号 叫 
作 数 字 调制 。 这 一 节 讲 述 简单 的 数字 调制 技术 。 


可 以 调制 模拟 载波 信号 的 3 个 参数 


幅度 、 频 移 和 相 移 来 表示 数字 数据 。 在 电话 系统 中 


就 是 传输 这 种 经 过 调制 的 模拟 载波 信号 的 。3 种 基本 模拟 调制 方式 如 图 2-11 所 示 。 
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ASK 


FSK 


PSK 


图 2-11 3 种 调制 方式 


1. 幅度 键 控 (ASK) 


按照 这 种 调制 方式 , 载波 的 幅度 受到 数字 数据 的 调制 而 取 不 同 的 值 , 例如 对 应 二 进 制 “0”， 
载波 振幅 为 “0”， 对 应 二 进 制 “1”， 载 波 振幅 取 “1”。 调 幅 技 术 虽 然 实 现 起 来 简单 ， 但 抗 干 扰 
性 能 较 差 。 

2， 频 移 键 控 (FSK) 

按照 数字 数据 的 值 调制 载波 的 频率 叫 作 频 移 键 控 。 例 如 ， 对 应 二 进 制 “0” 的 载波 频率 为 
态 ， 对 应 二 进 制 “1” 的 载波 频率 为 凡 。 这 种 调制 技术 的 抗 干扰 性 能 好 ， 但 占用 的 带宽 较 大 。 在 
有 些 低速 调制 解 调 器 中 ， 用 这 种 调制 技术 把 数字 数据 变 成 模拟 音频 信号 传送 。 

3. 相 移 键 控 (PSK) 

用 数字 数据 的 值 调制 载波 相位 ， 这 就 是 相 移 键 控 。 例 如 ， 用 180 相 移 表示 “1”， 用 0 相 移 
表示 0。 这 种 调制 方式 抗 干 扰 性 能 好 ， 而 且 相 位 的 变化 也 可 以 作为 定时 信息 来 同步 发 送 机 和 接 
收 机 的 时 钟 。 码 元 只 取 两 个 相位 值 叫 2 相 调制 ， 码 元 可 取 4 个 相位 值 叫 4 相 调制 。4 相 调 制 时 ， 
一 个 码 元 代表 两 位 二 进 制 数 (如 表 2-3 所 示 )。 采 用 4 相 或 更 多 相 的 调制 能 提供 较 高 的 数据 速率 ， 
但 实现 技术 更 复杂 。 


表 2-3 4 相 调制 方案 


位 AB 方案 1 方案 2 位 AB 方案 1 方案 2 
00 0° 45° 10 180° 区 于 
01 90° 135° 11 270° 315° 
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可 见 ， 数 字 调 制 的 结果 是 模拟 信号 的 某 个 参量 幅度、 频率 或 相位 ) 取 离散 值 。 这 些 值 与 
传输 的 数字 数据 是 对 应 的 ， 这 是 数字 调制 与 传统 的 模拟 调制 不 同 的 地 方 。 

4. 正 交 幅度 调制 

所 谓 正 交 幅 度 调制 (Quadrature Amplitude Modulation，QAM) 就 是 把 两 个 幅度 相同 但 相位 
相差 90” 的 模拟 信号 合成 为 一 个 模拟 信号 。 表 2-4 的 例子 是 把 ASK 和 PSK 技术 结合 起 来 ， 形 
成 幅度 相位 复合 调制 ， 这 也 是 一 种 正 交 幅度 调制 技术 。 由 于 形成 了 16 种 不 同 的 码 元 ， 所 以 每 一 个 
码 元 可 以 表示 4 位 二 进 制 数据 ， 使 得 数据 速率 大 大 提高 。 

表 2-4 ”幅度 相位 复合 调制 


二 进 制 数 二 进 制 数 码 元 相位 


0000 45° 
0001 0° 
0010 90° 
0011 135° 
0100 270° 
0101 EF 
1010 225° 
0111 180° 


2.6 ”脉冲 编码 调制 


模拟 数据 通过 数字 信道 传输 时 效率 高 、 失 真 小 ， 而 且 可 以 开发 新 的 通信 业务 ， 例 如 ， 在 数 
字 电 话 系统 中 可 以 提供 语音 信箱 功能 。 把 模拟 数据 转化 成 数字 信号 ， 要 使 用 叫 作 编码 解码 器 
(Codec) 的 设备 。 这 种 设备 的 作用 和 调制 解 调 器 的 作用 相反 ， 它 是 把 模拟 数据 (例如 声音 、 图 
像 等 ) 变换 成 数字 信号 ， 经 传输 到 达 接 收 端 再 解码 还 原 为 模拟 数据 。 用 编码 解码 器 把 模拟 数据 
变换 为 数字 信号 的 过 程 叫 模拟 数据 的 数字 化 。 常 用 的 数字 化 技术 就 是 脉冲 编码 调制 技术 (Pulse 
Code Modulation，PCM)， 简 称 脉 码 调制 。 


2.6.1 取样 


每 隔 一 定 的 时 间 ， 取 模拟 信号 的 当前 值 作为 样本 ， 该 样本 代表 了 模拟 信号 在 某 一 时 刻 的 瞬 
时 值 。 一 系列 连续 的 样本 可 用 来 代表 模拟 信号 在 某 一 区 间 随 时 间 变化 的 值 。 以 什么 样 的 频率 取 
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样 ， 才 能 得 到 近似 于 原 信号 的 样本 空间 呢 ? 奈奈 斯 特 取样 定理 告诉 我 们 ， 如 果 取样 速率 大 于 杰 
拟 信号 最 高 频率 的 两 售 ， 则 可 以 用 得 到 的 样本 空间 恢复 原 玉 的 模拟 信号 ， 即 

/ => 2fom 
其 中 /为 取样 频率 ,了 为 取样 周期 ,fw 为 信号 的 最 高 频率 。 
2.6.2 量化 


取样 后 得 到 的 样本 是 连续 值 , 这 些 样 本 必须 量化 为 离散 
值 ， 离 散 值 的 个 数 决定 了 量化 的 精度 。 在 图 2-12 中 ， 把 量 
化 的 等 级 分 为 16 级 ， 用 0000 一 1111 这 16 个 二 进 制 数 分 别 
代表 0.1 一 1.6 这 16 个 不 同 的 电 平 幅 度 。 


2.6.3 编码 


把 量化 后 的 样本 值 变 成 相应 的 二 进 制 代码 , 可 以 得 到 相 
应 的 二 进 制 代码 序列 ， 其 中 每 个 二 进 制 代 码 都 可 用 一 个 脉冲 串 〈4 位 ) 来 表示 ， 这 4 位 一 组 的 
脉冲 序列 就 代表 了 经 PCM 编码 的 模拟 信号 。 

由 上 述 脉 码 调制 的 原理 可 以 看 出 ， 取 样 的 速率 是 由 模拟 信号 的 最 高 频率 决定 的 ， 而 量化 级 
的 多 少 则 决定 了 取样 的 精度 。 在 实际 使 用 中 ， 希 望 取样 的 速率 不 要 太 高 ， 以 免 编码 解码 器 的 工 
作 频 率 太 快 ; 也 希望 量化 的 等 级 不 要 太 多 ， 能 满足 需要 就 行 了 ， 以 免得 到 的 数据 量 太 大 ， 记 以 
这 些 参数 都 取 下 限 值 。 例 如 ， 对 声音 信号 数字 化 时 ， 由 于 话音 的 最 高 频率 是 和 Hz， 所 以 取样 速率 
是 8kHz。 对 话音 样本 用 128 个 等 级 量化 ， 因 而 每 个 样本 用 7 位 二 进 制 数字 表示 。 在 数字 信道 上 
传输 这 种 数字 化 了 的 话音 信号 的 速率 是 7X 8000=56kbps。 如 果 对 电视 信号 数字 化 ， 由 于 视频 信 
号 的 带宽 更 大 (6MHz)， 取 样 速率 就 要 求 更 高 ， 假 若 量化 等 级 更 多 ， 对 数据 速率 的 要 求 也 就 更 
高 了 。 


2.7 ”通信 方式 和 交换 方式 


2.7.1 数据 通信 方式 
1. 通信 方向 


图 2-12 脉冲 编码 调制 


按 数 据 传输 的 方向 分 ， 可 以 有 下 面 3 种 不 同 的 通信 方式 。 
(1) 单 工 通信 。 在 单 工 信 道 上 ， 信 息 只 能 在 一 个 方向 传送 ， 发 送 方 不 能 接收 ， 接 收 方 也 不 
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E 发 送 。 信 和 道 的 全 部 带宽 都 用 于 由 发 送 方 到 接收 方 的 数据 传送 。 无 线 电 广播 和 电视 广播 都 是 单 
工 通信 的 例子 。 

(2) 半 双 工 通 信 。 在 半 双 工 信 道 上 ， 通 信 的 双方 可 交替 发 送 和 接收 信息 ， 但 不 能 同时 发 送 
和 接收 。 在 一 段 时 间 内 ， 信 道 的 全 部 带宽 用 于 在 一 个 方向 上 传送 信息 ， 航 空 和 航海 无 线 电台 以 
及 无 线 对 讲 机 等 都 是 以 这 种 方式 通信 的 。 这 种 方式 要 求 通信 双方 都 有 发 送 和 接收 能 力 ， 因 而 比 
单 工 通信 设备 昂贵 ， 但 比 全 双 工 设备 便宜 。 在 要 求 不 是 很 高 的 场合 ， 多 采用 这 种 通信 方式 ， 虽 
然 转换 传送 方向 会 带 来 额外 的 开销 。 

(3) 全 双 工 通信 。 这 是 一 种 可 同时 进行 双向 信息 传送 的 通信 方式 ， 例 如 现代 的 电话 通信 就 
是 这 样 的 。 全 双 工 通信 不 仅 要 求 通信 双方 都 有 发 送 和 接收 设备 ， 而 且 要 求 信道 能 提供 双向 传输 
的 双 倍 带宽 ， 所 以 全 双 工 通信 设备 最 昂贵 。 


2. 同步 方式 


在 通信 过 程 中 ， 发 送 方 和 接收 方 必须 在 时 间 上 保持 同步 才能 准确 地 传送 信息 。 前 面 曾 提 到 
过 信号 编码 的 同步 作用 ， 这 叫 码 元 同步 。 另 外 ， 在 传送 由 多 个 码 元 组 成 的 字符 以 及 由 许多 字符 
组 成 的 数据 块 时 , 通信 双方 也 要 就 信息 的 起 止 时 间 取得 一 致 。 这 种 同步 作用 有 两 种 不 同 的 方式 ， 
因而 对 应 了 两 种 不 同 的 传输 方式 。 

(1) 异步 传输 。 即 把 各 个 字符 分 开 传输 ， 字 符 之 间 插入 同步 信息 。 这 种 方式 也 叫 起 止 式 ， 
即 在 字符 的 前 后 分 别 插入 起 始 位 “0”) 和 停止 位 (“1”)， 如 图 2-13 所 示 。 起 始 位 对 接收 方 的 
时 钟 起 置 位 作用 。 接 收 方 时 钟 置 位 后 只 要 在 8 一 11 位 的 传送 时 间 内 准确 ， 就 能 正确 接收 一 个 字 
符 。 最 后 的 停止 位 告诉 接收 方 该 字符 传送 结束 ， 然 后 接收 方 就 可 以 检测 后 续 字符 的 起 始 位 了 。 
当 没有 字符 传送 时 ， 连 续 传送 停止 位 。 
7 位 1 位 1 位 


1 位 


图 2-13 异步 传输 


加 入 校 验 位 的 目的 是 检查 传输 中 的 错误 ， 一 般 使 用 奇偶 校 验 。 异 步 传 输 的 优点 是 简单 ， 但 
是 由 于 起 止 位 和 检验 位 的 加 入 会 引入 20% 一 30% 的 开销 ， 传 输 的 速率 也 不 会 很 高 。 

(2) 同步 传输 。 异 步 传 输 不 适合 于 传送 大 的 数据 块 ( 例 如 磁盘 文件 )， 同 步 传 输 在 传送 连 
续 的 数据 块 时 比 异 步 传输 更 有 效 。 按 照 这 种 方式 ， 发 送 方 在 发 送 数据 之 前 先 发 送 一 串 同步 字符 
SYNC， 接 收 方 只 要 检测 到 连续 两 个 以 上 SYNC 字符 就 确认 已 进入 同步 状态 ， 准 备 接收 信息 。 
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随后 的 传送 过 程 中 双方 以 同一 频率 工作 《〈 信 和 号 编码 的 定时 作用 也 表现 在 这 里 )， 直 到 传送 完 指 
示 数 据 结束 的 控制 字符 。 这 种 同步 方式 仅 在 数据 块 的 前 后 加 入 控制 字符 SYNC, 所 以 效率 更 高 。 
在 短 距离 高 速 数据 传输 中 ， 多 采用 同步 传输 方式 。 


2.7.2 ”交换 方式 


一 个 通信 网 络 由 许多 交换 节点 互 连 而 成 。 信 息 在 这 样 的 网 络 中 传输 就 像 火车 在 铁路 网 络 中 
运行 一 样 ， 经 过 一 系列 交换 节点 〈 车 站 )， 从 一 条 线路 交换 到 另 一 条 线路 ， 最 后 才能 到 达 目 的 
地 。 交 换 节点 转发 信息 的 方式 可 分 为 电路 交换 、 报 文 交 换 和 分 组 交换 3 种 。 

1. 电路 交换 

这 种 交换 方式 把 发 送 方 和 接收 方 用 一 系列 链 路 直接 连通 (如 图 2-14 所 示 )。 电 话 交 换 系 统 
就 是 采用 这 种 交换 方式 。 当 交换 机 收 到 一 个 呼叫 后 就 在 网 络 中 寻找 一 条 临时 通路 供 两 端的 用 户 
通话 ， 这 条 临时 通路 可 能 要 经 过 若干 个 交换 局 的 转 接 ， 并 且 一 旦 建立 连接 就 成 为 这 一 对 用 户 之 
间 的 临时 专用 通路 ， 其 他 用 户 不 能 打 断 ， 直 到 通话 结束 才 拆 除 连接 。 


图 2-14 电路 交换 


早期 的 电路 交换 机 采用 空 分 交换 技术 。 图 2-15 表示 由 n 条 全 双 工 输入 输出 线路 组 成 的 纵 
横 交 换 矩 阵 ， 在 输入 线路 和 输出 线路 的 交叉 点 处 有 接触 开关 。 每 个 站 点 分 别 与 一 条 输入 线路 和 
一 条 输出 线路 相连 ， 只 要 适当 控制 这 些 交 叉 触 点 的 通 断 ， 就 可 以 控制 任意 两 个 站 点 之 间 的 数据 
交换 。 这 种 交换 机 的 开关 数量 与 站 点 数 的 平方 成 正比 ， 成 本 高 ， 可 靠 性 差 ， 已 经 被 更 先进 的 时 
分 交换 技术 取代 了 。 

时 分 交换 是 时 分 多 路 复 用 技术 在 交换 机 中 的 应 用 。 图 2-16 所 示 为 常见 的 TDM 总 线 交换 ， 
每 个 站 点 都 通过 全 双 工 线路 与 交换 机 相连 ， 当 交换 机 中 的 某 个 控制 开关 接 通 时 该 线路 获得 一 个 
时 槽 ， 线 路 上 的 数据 被 输出 到 总 线 上 。 在 数字 总 线 的 另 一 端 按照 同样 的 方法 接收 各 个 时 槽 上 的 
数据 。 
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电路 交换 的 特点 是 建立 连接 需要 等 待 较 长 的 时 间 。 由 于 连接 建立 后 通路 是 专用 的 ， 因 而 不 
会 有 其 他 用 户 的 和 干扰， 不 再 有 等 待 延迟 。 这 种 交换 方式 适合 于 传输 大 量 的 数据 ， 传 输 少 量 信息 
时 效率 不 高 。 

2. 报 文 交换 


这 种 方式 不 要 求 在 两 个 通信 节点 之 间 建 立 专用 通路 。 节 点 把 要 发 送 的 信息 组 织 成 一 个 数据 
包 一 一 报 文 ， 该 报 文中 含有 目标 节点 的 地 址 ， 完 整 的 报 文 在 网 络 中 一 站 一 站 地 向 前 传送 。 每 一 
个 节点 接收 整个 报 文 ， 检 查 目标 节点 地 址 ， 然 后 根据 网 络 中 的 “交通 情况 ”在 适当 的 时 候 转发 
到 下 一 个 节点 。 经 过 多 次 的 存储 一 转发 ， 最 后 到 达 目 标 节点 (如 图 2-17 所 示 )， 因 而 这 样 的 网 
络 叫 存储 -转发 网 络 。 其 中 的 交换 节点 要 有 足够 大 的 存储 空间 (一般 是 磁盘 )， 用 于 缓冲 接收 到 
的 长 报 文 。 交 换 节点 对 各 个 方向 上 收 到 的 报 文 排队 ， 寻 找 下 一 个 转发 节点 ， 然 后 再 转发 出 去 ， 
这 些 都 带 来 了 排队 等 待 延 迟 。 报 文 交 换 的 优点 是 不 建立 专用 链 路 ， 线 路 是 共享 的 ， 因 而 利用 率 
较 高 ， 这 是 由 通信 中 的 等 待 时 延 换 来 的 。 


人 


人 


图 2-17 报 文 交 换 
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在 这 种 交换 方式 中 数据 包 有 固定 的 长 度 ， 因 而 交换 节点 只 要 在 内 存 中 开辟 一 个 小 的 缓冲 区 
就 可 以 了 。 在 进行 分 组 交换 时 ， 发 送 节 点 先 要 对 传送 的 信息 分 组 ， 对 各 个 分 组 编号 ， 加 上 源 地 
址 和 目标 地 址 以 及 约定 的 分 组 头 信息 ， 这 个 过 程 叫 作 信息 的 打包 。 一 次 通信 中 的 所 有 分 组 在 网 
络 中 传播 又 有 两 种 方式 ， 一 种 叫 数据 报 (Datagram)， 另 一 种 叫 虚 电路 〈Virtual Circuit)， 下 面 分 别 
介绍 。 

(1) 数据 报 。 类 似 于 报 文 交换 ， 每 个 分 组 在 网 络 中 的 传播 路 径 完 全 是 由 网 络 当时 的 状况 随 
机 决定 的 。 因 为 每 个 分 组 都 有 完整 的 地 址 信息 ， 如 果 不 出 意外 都 可 以 到 达 目 的 地 。 但 是 ， 到 达 
目的 地 的 顺序 可 能 和 发 送 的 顺序 不 一 臻 。 有 些 早 发 的 分 组 可 能 在 中 间 某 段 交通 拥挤 的 链 路 上 耽 
搁 了 ， 比 后 发 的 分 组 到 得 迟 ， 目 标 主机 必须 对 收 到 的 分 组 重新 排序 才能 恢复 原来 的 信息 。 一 般 
来 说 ， 在 发 送 端 要 有 一 个 设备 对 信息 进行 分 组 和 编号 ， 在 接收 端 也 要 有 一 个 设备 对 收 到 的 分 组 
拆 去 头 、 尾 并 重 排 顺序 , 具有 这 些 功 能 的 设备 叫 分 组 拆 装 设备 (Packet Assembly and Disassembly 
device，PAD )， 通 信 双 方 各 有 一 个 。 

(2) 虚 电 路 。 类 似 于 电路 交换 ， 这 种 方式 要 求 在 发 送 端 和 接收 端 之 间 建 立 一 条 网 辑 连 接 。 

会 话 开 始 时 ， 发 送 端 先 发 送 建立 连接 的 请 求 消息 ， 这 个 请 求 消息 在 网 络 中 传播 ， 途 中 的 各 个 
交换 节点 根据 当时 的 交通 状况 决定 取 哪 条 线路 来 响应 这 一 请 求 ， 最 后 到 达 目 的 端 。 如 果 目 的 端 
给 予 肯定 的 回答 ， 则 风 辑 连接 就 建立 了 。 以 后 发 送 端 发 出 的 一 系列 分 组 都 走 这 一 条 通路 ， 直 到 
会 话 结束 ， 拆 除 连接 。 与 电路 交换 不 同 的 是 ， 池 辑 连接 的 建立 并 不 意味 着 其 他 通信 不 能 使 用 这 
条 线路 ， 它 仍然 具有 链 路 共享 的 优点 。 

按 虚 电路 方式 通信 ， 接 收 方 要 对 正确 收 到 的 分 组 给 予 回答 确认 ， 通 信 双 方 要 进行 流量 控制 
和 差错 控制 ， 以 保证 按 顺 序 正确 接收 ， 所 以 虚 电 路 意味 着 可 靠 的 通信 。 当 然 ， 它 涉及 更 多 的 技 
术 ， 需 要 更 大 的 开销 。 也 就 是 说 ， 它 没有 数据 报 方式 灵活 ， 效 率 不 如 数据 报 方式 高 。 

虚 电 路 可 以 是 暂时 的 ,， 即 会 话 开始 建立 , 会 话 结束 拆除 ,这 叫 作 虚 呼叫 ; 也 可 以 是 永久 的 ， 
即 通信 双方 一 开机 就 自动 建立 连接 ， 直 到 一 方 请 求 释放 才 断 开 连 接 ， 这 叫 作 永久 虚 电 路 。 

虚 电 路 适合 于 交互 式 通信 ， 这 是 它 从 电路 交换 那里 继承 的 优点 。 数 据 报 方式 更 适合 于 单 向 
地 传送 短 消 息 ， 采 用 固定 的 、 短 的 分 组 相对 于 报 文 交换 是 一 个 重要 的 优点 。 除 了 交换 节点 的 存 
储 缓冲 区 可 以 小 一 些 外 ， 也 带 来 了 传播 时 延 的 减 小 。 分 组 交换 也 意味 着 按 分 组 纠 错 ， 发 现 错误 
只 需 重 发 出 错 的 分 组 ， 使 通信 效率 提高 。 广 域 网 络 一 般 都 采用 分 组 交换 方式 ， 按 交换 的 分 组 数 
收费 ， 而 不 是 像 电 话 网 那样 按 通 话 时 间 收 费 ， 这 当然 更 适合 计算 机 通信 的 突 发 式 特点 。 有 些 网 
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络 同时 提供 数据 报 和 虚 电 路 两 种 服务 ， 用 户 可 根据 需要 选用 。 
2.8 多 路 复 用 技术 
多 路 复 用 技术 是 把 多 个 低速 信道 组 合成 一 个 高 速 信道 的 技术 。 这 种 技术 要 用 到 两 个 设备 ， 
其 中 ， 多 路 复 用 器 (Multiplexer) 在 发 送 端 根据 某 种 约定 的 规则 把 多 个 低 带 宽 的 信号 复合 成 一 


个 高 带宽 的 信号 ;多 路 分 配器 (Demultiplexer) 在 接收 端 根据 同一 规则 把 高 带宽 信号 分 解 成 多 
个 低 带宽 信号 。 多 路 复 用 器 和 多 路 分 配器 统称 多 路 器 ， 简 写 为 MUX， 如 图 2-18 所 示 。 


图 2-18 多 路 复 用 


只 要 带宽 允许 ， 在 已 有 的 高 速 线路 上 采用 多 路 复 用 技术 可 以 省 去 安装 新 线路 的 大 笔 费 用 ， 

因而 现今 的 公共 交换 电话 网 (PSTN) 都 使 用 这 种 技术 ， 有 效 地 利用 了 高 速 干线 的 通信 能 力 。 
当然 ， 也 可 以 相反 地 使 用 多 路 复 用 技术 ， 即 把 一 个 高 带宽 的 信和 号 分 解 到 几 个 低速 线路 上 同 

时 传输 ， 然 后 在 接收 端 合成 为 原来 的 高 带宽 信号 。 例 如 ， 两 个 主机 可 以 通过 若干 条 低速 线路 连 

接 ， 以 满足 主机 间 高 速 通 信 的 要 求 。 

2.8.1 频 分 多 路 复 用 


频 分 多 路 复 用 是 在 一 条 传输 介质 上 使 用 多 个 频率 不 同 的 模拟 载波 信号 进行 多 路 传输 , 这 些 
载波 可 以 进行 任何 方式 的 调制 ， 如 ASK、FSK、PSK 以 及 它们 的 组 合 。 每 一 个 载波 信号 形成 了 
一 个 子 信道 , 各 个 子 信道 的 中 心 频 率 不 相 重 合 , 子 信道 之 间 留 有 一 定 宽度 的 隔离 频带 (如 图 2-19 
所 示 )。 

频 分 多 路 技术 早已 用 在 无 线 电 广播 系统 中 ， 在 有 线 电视 系统 (CATV) 中 也 使 用 频 分 多 路 
技术 。 一 根 CATV 电费 的 带宽 大 约 是 1 000MHz, 可 传送 多 个 频道 的 电视 节目 , 每 个 频道 6.5MHz 
的 带宽 中 又 划分 为 声音 子 通道 、 视 频 子 通道 以 及 彩色 子 通道 。 每 个 频道 两 边 都 留 有 一 定 的 警戒 
频带 ， 防 止 相互 串扰 。 

FDM 也 用 在 宽带 局 域 网 中 。 电线 带宽 至 少 要 划分 为 不 同方 向 上 的 两 个 子 频带 , 甚至 还 可 以 
分 出 一 定 带宽 用 于 某 些 工作 站 之 间 的 专用 连接 。 
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图 2-19 频 分 多 路 复 用 
2.8.2 ”时 分 多 路 复 用 
时 分 多 路 复 用 (Time Division Multiplexing，TDM) 要 求 各 个 子 通道 按时 间 片 轮流 地 占用 


整个 带宽 (如 图 2-20 所 示 )。 时 间 片 的 大 小 可 以 按 一 次 传送 一 位 、 一 个 字 节 或 一 个 固定 大 小 的 
数据 块 所 需 的 时 间 来 确定 。 


图 2-20 时 分 多 路 复 用 


时 分 多 路 技术 可 以 用 在 宽带 系统 中 ， 也 可 以 用 在 频 分 制 下 的 某 个 子 通道 上 。 时 分 制 按照 子 
通道 的 动态 利用 情况 又 可 分 为 两 种 ， 即 同步 时 分 和 统计 时 分 。 在 同步 时 分 制 下， 整个 传输 时 间 
被 划分 为 固定 大 小 的 周期 。 每 个 周期 内 ， 各 子 通道 都 在 固定 位 置 占有 一 个 时 槽 。 这 样 ， 在 接收 
端 可 以 按 约定 的 时 间 关系 恢复 各 子 通道 的 信息 流 。 当 某 个 子 通道 的 时 模 来 到 时 ， 如 果 没 有 信息 
要 传送 ， 这 一 部 分 带宽 就 浪费 了 。 统 计时 分 制 是 对 同步 时 分 制 的 改进 ， 特 别 把 统计 时 分 制 下 的 
多 路 复 用 器 称 为 集中 器 ， 以 强调 它 的 工作 特点 。 在 发 送 端 ， 集 中 器 依次 循环 扫描 各 个 子 通道 。 
若 某 个 子 通道 有 信息 要 发 送 则 为 它 分 配 一 个 时 模 ， 若 没有 就 跳 过 ， 这 样 就 没有 空 模 在 线路 上 传 
播 了 。 然 而 ， 需 要 在 每 个 时 槽 加 入 一 个 控制 字段 ， 以 便 接 收 端 可 以 确定 该 时 槽 是 属于 哪个 子 通 
道 的 。 
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2.8.3” 波 分 多 路 复 用 


波 分 多 路 复 用 (Wave Division Multiplexing，WDM) 使 用 在 光纤 通信 中 ， 不 同 的 子 信道 用 
不 同 波长 的 光波 承载 ， 多 路 复 用 信道 同时 传送 所 有 子 信道 的 波长 。 这 种 技术 在 网 络 中 要 使 用 能 
够 对 光波 进行 分 解 和 合成 的 多 路 器 ， 如 图 2-21 所 示 。 


41=1535nm 21=1535nm 


多 路 器 接收 器 


图 2-21 波 分 多 路 复 用 


2.8.4 ”数字 传输 系统 


在 介绍 脉 码 调制 时 曾 提 到 ， 对 4kHz 的 话音 信道 按 8kHz 的 速率 采样 ，128 级 量化 ， 则 每 个 
话音 信道 的 比特 率 是 56kbps。 为 每 一 个 这 样 的 低速 信道 安装 一 条 通信 线路 太 不 划算 了 ， 所 以 在 
实际 中 要 利用 多 路 复 用 技术 建立 更 高 效 的 通信 线路 。 在 美国 和 日 本 使 用 很 广 的 一 种 通信 标准 是 
贝尔 系统 的 Ti 载波 〈 如 图 2-22 所 示 )。 

193 位 / 帧 ，125hs 图 
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第 8 位 为 信 令 位 ”第 193 位 为 帧 同步 


图 2-22 ”贝尔 系统 的 Ti 载波 
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Ti 载波 也 叫 一 次 群 ， 它 把 24 路 话音 信道 按时 分 多 路 的 原理 复合 在 一 条 1.544Mbps 的 高 速 信 
道上 。 该 系统 的 工作 是 这 样 的 ， 用 一 个 编码 解码 器 轮流 对 24 路 话音 信道 取样 、 量 化 和 编码 ， 
将 一 个 取样 周期 中 (125ps) 得 到 的 7 位 一 组 的 数字 合成 一 串 ， 共 7X24 位 长 。 这 样 的 数字 串 在 
送 入 高 速 信道 前 要 在 每 一 个 7 位 组 的 后 面 插入 一 个 信 令 位 ， 于 是 变 成 了 8X24=192 位 长 的 数字 
串 。 这 192 位 数字 组 成 一 帧 ， 最 后 再 加 入 一 个 帧 同步 位 ， 故 帧 长 为 193 位 。 每 125ps 传送 一 帧 ， 
其 中 包含 了 各 路 话音 信道 的 一 组 数字 ， 还 包含 了 总 共 24 位 的 控制 信息 以 及 1 位 帧 同步 信息 。 
这 样 ， 不 难 算出 T 载波 的 各 项 比特 率 。 对 每 一 路 话音 信道 来 说 ， 传 输 数据 的 比特 率 为 7b/125ps= 
56 kbps， 传 输 控制 信息 的 比特 率 为 1b/125hs=8 kbps， 总 的 比特 率 为 193 b/125hs=1.544 Mbps。 

Ti 载波 还 可 以 多 路 复 用 到 更 高 级 的 载波 上 ， 如 图 2-23 所 示 。4 个 1.544 Mbps 的 Ti 信道 结 
合成 1 个 6.312Mbps 的 T 信道 ， 多 增加 的 位 〈6.312-4X1.544=0.136) 是 为 了 组 帧 和 差错 恢复 。 
与 此 类 似 ，7 个 开 信 道 组 合成 1 个 Ti 信 道 ，6 个 T; 信 道 组 合成 1 个 Ts 信 道 。 


四 一 区 四 区 到 
汉 皇 [下 卫 雪 [站 王 委 [让 


三 :| 一 J 二 = 
一 一 一 一 0 se 和 一 ~ 
2 
T， [4 个 记 信道 了 下 人 信道 T 
1.544 Mbps 6.312Mbps 44.736Mbps 274.176Mbps 
图 2-23 多 路 复 用 


ITU-T 的 El 信道 的 数据 速率 是 2.048Mbps〈 如 图 2-24 所 示 )。 这 种 载波 把 32 个 8 位 一 组 
的 数据 样本 组 合成 125hs 的 基本 帧 ， 其 中 30 个 子 信道 用 于 话音 传送 数据 ， 两 个 子 信道 〈CHO 
和 CH16) 用 于 传送 控制 信 令 ， 每 4 帧 能 提供 64 个 控制 位 。 除 了 北美 和 亚洲 的 日 本 外 ，El 载 
波 在 其 他 地 区 得 到 了 广泛 使 用 。 


一 -一 | 8 位 “~ 一 一 


CHO CHI1 CH2 i | CHI15 | CH16 | CH17 | | CH30 | CH31 


- 15 个 话 路 | 15 个 话 路 -| 


| T=125 ms 


图 2-24 El 帧 
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按照 ITU-T 的 多 路 复 用 标准 ，E2 载波 由 4 个 El 载波 组 成 ， 数 据 速率 为 8.448Mbps。E3 
载波 由 4 个 E2 载波 组 成 ， 数 据 速 率 为 34.368Mbps。E4 载波 由 4 个 E3 载波 组 成 ， 数 据 速率 为 
139.264Mbps。E5 载波 由 4 个 E4 载波 组 成 ， 数 据 速率 为 565.148Mbps。 
2.8.5 ”同步 数字 系列 

光纤 线路 的 多 路 复 用 标准 有 两 个 ， 美国 标准 叫 作 同 步 光纤 网 络 (Synchronous Optical 
Network, SONET); ITU-T 以 SONET 为 基础 制订 出 的 国际 标准 叫 作 同步 数字 系列 (Synchronous 
Digital Hierarchy，SDH)。SDH 的 基本 速率 是 155.52Mbps， 称 为 第 1 级 同步 传递 模块 
(Synchronous Transfer Module)， 即 STM-1， 相 当 于 SONET 体系 中 的 OC-3 速率 ， 如 表 2-5 
所 示 。 


表 2-5 SONET 多 路 复 用 的 速率 


i 链 路 速率 有 效 载荷 负载 常用 近似 

光纤 级 | STS 级 /Mbps /Mbps SDH 对 应 什 
oc-l STS-1 51.840 1.728 - 
OC:3 STS-3 155.520 5.184 STM-1 | 155Mbps 
oc-9 | SITS-9 466.560 15.552 STM-3 

oc-12 | SsTS-12 622.080 20.736 STM-4 “| 622Mbps 
oc-18 | SsIs-18 933.120 31.104 STM-6 

oc-24 | SITS-24 | 1244.160 41.472 STM-8 

OC-36 | SITS-36 | 1866.240 62.208 STM-13 

oc-48 | SIS-48 | 2488.320 82.944 SIM-16 | 2.5Gbps 
OC-96 | SITS-96 | 4976.640 165.888 STM-32 

Oc-192 | STS-192 | 9953280 331.776 STM-64 | 10Gbps 


2.9 ”差错 控制 


无 论 通信 系统 如 何 可 靠 ， 都 不 能 做 到 完美 无 缺 。 因 此 ， 必 须 考 虑 怎样 发 现 和 纠正 信号 传输 
中 的 差错 。 这 一 节 从 应 用 角度 介绍 差错 控制 的 基本 原理 和 方法 。 

通信 过 程 中 出 现 的 差错 可 大 致 分 为 两 类 : 一 类 是 由 热 噪 声 引起 的 随机 错误 ; 另 一 类 是 由 冲 
击 噪声 引起 的 突 发 错误 。 通 信 线 路 中 的 热 噪 声 是 由 电子 的 热 运动 产生 的 ， 香 农 关 于 噪声 信道 传 
输 速率 的 结论 就 是 针对 这 种 噪声 的 。 热 噪声 时 刻 存在 ， 具 有 很 宽 的 频谱 ， 且 幅度 较 小 。 通 信 线 
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路 的 信 噪 比 越 高 ， 热 噪声 引起 的 差错 越 少 。 这 种 差错 具有 随机 性 ， 影 响 个 别 位 。 

冲击 噪声 源 是 外 界 的 电磁 干 拢 ， 例 如 打雷 闪电 时 产生 的 电磁 干扰 ， 电 焊 机 引起 的 电压 波动 
等 。 神 击 噪声 持续 的 时 间 短 而 幅度 大 ， 往 往 引 起 一 个 位 串 出 错 。 根 据 它 的 特点 ， 称 其 为 突 发 性 
差错 。 

此 外 ， 由 于 信号 幅度 和 传播 速率 与 相位 、 频 率 有 关 而 引起 的 信号 失真 ， 以 及 相 邻 线路 之 问 
发 生 串 音 等 都 会 产生 差错 ， 这 些 差错 也 具有 突 发 性 的 特点 。 

突 发 性 差错 影响 局 部 ， 而 随机 性 差错 总 是 断 续 存在 ， 影 响 全 局 。 所 以 要 尽量 提高 通信 设备 
的 信 品 比 ， 以 满足 要 求 的 差错 率 。 此 外 ， 要 进一步 提高 传输 质量 ， 就 需要 采用 有 效 的 差错 控制 
办 法 。 这 一 节 介 绍 的 检 错 和 纠 错 码 只 是 可 靠 性 技术 中 的 一 种 ， 它 广泛 地 使 用 在 数据 通信 中 。 
2.9.1 检 错 码 


奇偶 校 验 是 最 常用 的 检 错 方法 ， 其 原理 是 在 7 位 的 ASCII 代码 后 增加 一 位 ， 使 码 字 中 1 的 
个 数 成 奇数 〈 奇 校 验 ) 或 偶数 〈 偶 校 验 )。 经 过 传输 后 ， 如 果 其 中 一 位 〈 甚 至 奇数 个 位 ) 出 错 ， 
则 接收 端 按 同样 的 规则 就 能 发 现 错误 。 这 种 方法 简单 实用 ， 但 只 能 对 付 少量 的 随机 性 错误 。 

为 了 能 检测 突 发 性 的 位 串 出 错 ， 可 以 使 用 校 验 和 的 方法 。 这 种 方法 把 数据 块 中 的 每 个 字 节 
当 作 一 个 二 进 制 整数 ， 在 发 送 过 程 中 按 模 256 相 加 。 数 据 块 发 送 完 后 ， 把 得 到 的 和 作为 校 验 字 
节 发 送出 去 。 接 收 端 在 接收 过 程 中 进行 同样 的 加 法 ， 数 据 块 加 完 后 用 自己 得 到 的 校 验 和 与 接收 
到 的 校 验 和 比较 ， 从 而 发 现 是 否 出 错 。 实 现时 可 以 用 更 简单 的 办 法 ， 例 如 在 校 验 字 节 发 送 前 ， 
对 累加 器 中 的 数 取 2 的 补 码 。 这 样 ， 如 果 不 出 错 ， 接 收 端 在 加 完整 个 数据 块 以 及 校 验 和 后 累加 
器 中 是 0。 这 种 方法 的 好 处 是 由 于 进位 的 关系 ， 一 个 错误 可 以 影响 到 更 高 的 位 ， 从 而 使 出 错 
位 对 校 验 字 节 的 影响 扩大 了 。 可 以 粗略 地 认为 ， 随 机 的 突 发 性 错误 对 校 验 和 的 影响 也 是 随机 
的 。 出 现 突 发 错误 而 得 到 正确 的 校 验 字 节 的 概率 是 /1256， 于 是 就 有 255 : 1 的 机 会 能 检查 出 任 
何 错误 。 


2.9.2 海 明 码 


1950 年 , 海 明 (Hamming) 研究 了 用 宛 余 数据 位 来 检测 和 纠正 代码 差错 的 理论 和 方法 。 按 
照 海 明 的 理论 ， 可 以 在 数据 代码 上 添加 若干 元 余 位 组 成 码 字 。 码 字 之 间 的 海 明 距 离 是 一 个 码 字 
要 变 成 另 一 个 码 字 时 必须 改变 的 最 小 位 数 。 例 如 ，7 位 ASCII 码 增加 一 位 奇偶 位 成 为 8 位 的 码 
字 ， 这 128 个 8 位 的 码 字 之 间 的 海 明 距离 是 2。 所 以 ， 当 其 中 一 位 出 错时 便 能 检测 出 来 。 两 位 
出 错时 就 变 成 另外 一 个 码 字 了 。 

海 明 用 数学 分 析 的 方法 说 明了 海 明 距离 的 几何 意义 ，n 位 的 码 字 可 以 用 n 维 空间 的 超 立方 
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体 的 一 个 顶点 来 表示 。 两 个 码 字 之 间 的 海 明 距离 就 是 超 立 方 体 的 两 个 对 应 顶点 之 间 的 一 条 边 ， 
而 且 这 是 两 项 点 (两 个 码 字 ) 之 间 的 最 短 距离 ， 出 错 的 位 数 小 于 这 个 距离 都 可 以 被 判断 为 就 
近 的 码 字 。 这 就 是 海 明 码 纠 错 的 原理 ， 它 用 码 位 的 增加 《因而 通信 量 增 加 ) 来 换取 正确 率 的 
提高 。 

按照 海 明 的 理论 , 纠 错 码 的 编码 就 是 要 把 所 有 合法 的 码 字 尽量 安排 在 维 超 立 方 体 的 顶点 
上 ， 使 得 任意 一 对 码 字 之 间 的 距离 尽 可 能 大 。 如 果 任 意 两 个 码 字 之 间 的 海 明 距离 是 94， 则 所 有 
小 于 等 于 4-1 位 的 错误 都 可 以 检查 出 来 ， 所 有 小 于 4/2 位 的 错误 都 可 以 纠正 。 一 个 自然 的 推论 
是 ， 对 于 某 种 长 度 的 错误 串 ， 要 纠正 它 就 要 用 比 仅 仅 检测 它 多 一 倍 的 元 余 位 。 

如 果 对 于 m 位 的 数据 增加 位 匈 余 位 ， 则 组 成 w=m+tk 位 的 纠 错 码 。 对 于 2 个 有 效 码 字 中 
的 每 一 个 ， 都 有 个 无 效 但 可 以 纠 错 的 码 字 。 这 些 可 纠 错 的 码 字 与 有 效 码 字 的 距离 是 1， 含 单 
个 错误 位 。 这 样 ， 对 于 一 个 有 效 的 消息 总 共有 n+l 个 可 识别 的 码 字 。 这 n+1 个 码 字 相对 于 其 他 
2"-1 个 有 效 消息 的 距离 都 大 于 1。 这 意味 着 总 共有 2” (m+1) 个 有 效 的 或 者 可 纠 错 的 码 字 。 显 然 ， 
这 个 数 应 小 于 等 于 码 字 的 所 有 可 能 的 个 数 ， 即 2"。 于 是 ， 有 


2"(n+1)<2" 
因为 n=m+tk， 得 出 
m+kt+1<2* 
对 于 给 定 的 数据 位 m， 上 式 给 出 了 的 下 界 ， 即 要 纠正 单个 宙 


错误 , 大 必 须 取 的 最 小 值 。 海 明 建议 了 一 种 方案 可 以 达到 这 个 下 界 ， 
并 能 直接 指出 错 在 哪 一 位 。 首 先 把 码 字 的 位 从 1 到 编号， 并 把 
这 个 编号 表示 成 二 进 制 数 ， 即 2 的 宕 之 和 。 然 后 对 2 的 每 一 个 宕 
设置 一 个 奇偶 位 。 例 如 ， 对 于 6 号 位 ， 由 于 6=110 (二 进 制 )， 所 数 
以 6 号 位 参加 第 2 位 和 第 4 位 的 奇偶 校 验 ， 而 不 参加 第 1 位 的 奇 “所 
偶 校 验 。 类 似 地 ，9 号 位 参加 第 1 位 和 第 8 位 的 校 验 而 不 参 。 ”位 
加 第 2 位 或 第 4 位 的 校 验 。 海 明 把 奇偶 校 验 分 配 在 1、2、4、8 
等 位 置 上 ， 其 他 位 放置 数据 。 下 面 根据 图 2-25 举例 说 明 编码 的 
方法 。 

假设 传送 的 信息 为 1001011， 把 各 个 数据 放 在 3、5、6、7、 图 2-25 海 明 编码 的 例子 
9、10、11 等 位 置 上 ，1、2、4、8 位 留 作 校 验 位 。 


Lo To 
1 2 3 4 5 6 7 8 9 10 11 


根据 图 2-25，3、5、7、9、11 的 二 进 制 编码 的 第 一 位 为 1， 所 以 3、5、7、9、11 号 位 参 


8 
0 
0 
0 
0 
1 
1 
1 


oo 0 -ols 
rm o-oo -|- 
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加 第 1 位 校 验 ， 若 按 偶 校 验 计算 ，1 号 位 应 为 1。 


[a Tel olelil Telwl sl] 
和 


类 似 地 ，3、6、7、10、11 号 位 参加 2 位 校 验 ，5、6、7 号 位 参加 4 位 校 验 ，9、10 和 11 
号 位 参加 8 位 校 验 ， 全 部 按 偶 校 验 计算 ， 最 终 得 到 : 
1 0 1 0 0 1 0 0 本 1 
1 有 3 4 5 6 7 8 9 10 11 


如 果 这 个 码 字 传输 中 出 错 ， 比 如 说 6 号 位 出 错 ， 即 变 成 : 
yy x 区 y 
[| 
0 


当 接 收 端 按照 同样 的 规则 计算 奇偶 位 时 ， 发 现 1 和 8 号 位 的 奇偶 性 正确 ，2 和 4 号 位 的 奇 
偶 性 不 对 ， 于 是 2+4= 6， 立 即 可 确认 错 在 6 号 位 。 

在 上 例 中 ,本 4， 因 而 m<2 生 4 一 二 11， 即 数据 位 可 用 到 11 位 ， 共 组 成 15 位 的 码 字 ， 可 检 
测 出 单个 位 的 错误 。 


2.9.3 ”循环 元 余 校 验 码 


所 谓 循环 码 是 这 样 一 组 代码 ， 其 中 任 一 有 效 码 字 经 过 循环 移 位 后 得 到 的 码 字 仍然 是 有 效 
码 字 ， 不 论 是 右 移 或 左 移 ， 也 不 论 移 多 少 位 。 例 如 ， 若 (aana…aiao) 是 有 效 码 字 ， 则 (an 
an3…ao an1)， (an3 an4…an1 an2) 等 都 是 有 效 码 字 。 循 环 兄 余 校 验 码 (Cyclic Redundancy 
Check，CRC) 是 一 种 循环 码 ， 它 有 很 强 的 检 错 能 力 ， 而 且 容易 用 硬件 实现 ， 在 局 域 网 中 有 广 
泛 应 用 。 

首先 介绍 CRC 怎样 实现 ， 然 后 对 它 进行 一 些 数学 分 析 ， 最 后 说 明 CRC 的 检 错 能 力 。CRC 
可 以 用 图 2-26 所 示 的 移 位 寄存 器 实现 。 移 位 寄存 器 由 大 位 组 成 , 还 有 几 个 异 或 门 和 一 条 反馈 回 
路 。 图 2-26 所 示 的 移 位 寄存 器 可 以 按 CCITT-CRC 标准 生成 16 位 的 校 验 和 。 寄 存 器 被 初始 化 
为 0， 数 据 从 右 向 左 逐 位 输入 。 当 一 位 从 最 左边 移出 寄存 器 时 就 通过 反馈 回路 进入 异 或 门 和 后 
续 进 来 的 位 以 及 左 移 的 位 进行 异 或 运算 。 当 所 有 m 位 数据 从 右边 输入 完 后 再 输入 个 0 (本 例 
中 寻 16)。 最 后 ， 当 这 一 过 程 结 束 时 ， 移 位 寄存 器 中 就 形成 了 校 验 和 。 磊 位 的 校 验 和 跟 在 数据 位 
后 边 发 送 ， 接 收 端 可 以 按 同 样 的 过 程 计算 校 验 和 并 与 接收 到 的 校 验 和 比较 ， 以 检测 传输 中 的 
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差错 。 


二 1s [1 


3 ?9 加 s [7 |。 有 3 | 1 | 人 币 一 
下 


图 2-26 CRC 的 实现 
以 上 描述 的 计算 校 验 和 方法 可 以 用 一 种 特殊 的 多 项 式 除法 进行 分 析 。m 个 数据 位 可 以 看 作 
m-l1 阶 多 项 式 的 系数 。 例 如 ， 数 据 码 字 00101011 可 以 组 成 的 多 项 式 是 xsHe+x+l。 图 2-26 中 表 
示 的 反馈 回路 可 表示 成 另外 一 个 多 项 式 zastx24+x5+1， 这 就 是 所 谓 的 生成 多 项 式 。 所 有 的 运算 都 
按 模 2 进行 ， 即 
lx°+1x"=0x", Ox’+1x=], 1x°+0x"=]x",，Ox’+0x"=0x"，—lx"=]x" 
显然 ， 在 这 种 代数 系统 中 ， 加 法 和 减法 一 样 ， 都 是 异 或 运算 。 用 x 乘 一 个 多 项 式 等 于 把 多 
项 式 的 系数 左 移 一 位 。 可 以 看 出 , 按 图 2-26 的 反馈 回路 把 一 个 向 左 移出 寄存 器 的 数据 位 反馈 回 
去 与 寄存 器 中 的 数据 进行 异 或 运算 ， 等 同 于 在 数据 多 项 式 上 加 上 生成 多 项 式 ， 因 而 也 等 同 于 从 
数据 多 项 式 中 减 去 生成 多 项 式 。 以 上 给 出 的 例子 ， 对 应 于 下 面 的 长 除法 : 
0010 1011 0000 0000 0000 0000 
— 10 0010 0000 0100 001 
00 1001 0000 0100 0010 0000 
四 1000 1000 0001 0000 1 
0001 1000 0101 0010 1000 
四 1 0001 0000 0010 0001 
0 1001 0101 0000 1001 (余数 ) 
得 到 的 校 验 和 是 9509H。 于 是 看 到 , 移 位 寄存 器 中 的 过 程 和 以 上 长 除法 在 原理 上 是 相同 的 ， 
因而 可 以 用 多 项 式 理 论 来 分 析 CRC 代码 ， 这 就 使 得 这 种 检 错 码 有 了 严格 的 数学 基础 。 
把 数据 码 字形 成 的 多 项 式 叫 数据 多 项 式 D(x), 按照 一 定 的 要 求 可 给 出 生成 多 项 式 G(x)。 用 
GO) 除 过 DO 可 得 到 商 多 项 式 Co 和 余 多 项 式 RC)， 实 际 传送 的 码 字 多 项 式 是 
FeD= 达 DO)+ RGD 
由 于 使 用 了 模 2 算术 ，+RG)= RD， 于 是 接收 端 对 F(x) 计算 的 校 验 和 应 为 0。 如 果 有 差错 ， 
则 接收 到 的 码 字 多 项 式 包含 某 些 出 错位 EE， 可 表示 成 
H(x)= F(x)+ E(xY) 
由 于 Fo 可 以 被 G(x) 整 除 ， 如 果 H(x) 不 能 被 G(x) 整 除 ， 则 说 明 E(x) 取 0， 即 有 错误 出 现 。 
然而 ， 若 E(x) 也 能 被 G(x) 整 除 ， 则 有 差错 而 检测 不 到 。 
数学 分 析 表 明 ，G(x) 应 该 有 某 些 简单 的 特性 ， 才 能 检测 出 各 种 错误 。 例 如 ， 若 G(x) 包 含 的 
项 数 大 于 1， 则 可 以 检测 单个 错 ; 若 GO 含有 因子 x+t1， 则 可 检测 出 所 有 奇数 个 错 。 最 后 得 出 
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的 最 重要 的 结论 是 ， 具 有 7 个 校 验 位 的 多 项 式 能 检测 出 所 有 长 度 小 于 等 于 x 的 突 发 性 差错 。 
为 了 能 对 不 同 场合 下 的 各 种 错误 模式 进行 校 验 ， 已 经 研究 出 了 几 种 CRC 生成 多 项 式 的 国际 
标准 。 
CRC-CCITT  GGD)=x156Hx2 +Hx5+l 


CRC-16 GOD)=xr15+xr5 +x+l 
CRC-12 GQ)=x tx tx tx txtl 
CRC-32 Gx tx tx tx tx tx tx trl tx tx tx tx ttx txtl 


其 中 ，CRC-32 被 用 在 许多 局 域 网 中 。 
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广域网 是 通信 公司 建立 和 运营 的 网 络 ， 覆 盖 的 地 理 范围 大 ， 可 以 跨越 国界 ， 到 达 世 界 上 任 
何 地 方 。 通 信 公 司 把 它 的 网 络 分 次 〈 拨 号 线路 ) 或 分 块 〈 租 用 专线 ) 地 出 租 给 用 户 以 收取 服务 
费用 。 计 算 机 连 网 时 ， 如 果 距 离 遥远 ， 需 要 通过 广域网 进行 转 接 。 最 早出 现 的 也 是 普及 面 最 广 
的 通信 网 是 公共 交换 电话 网 ， 后 来 出 现 了 各 种 公用 数据 网 。 这 些 网 络 在 因特网 中 都 起 着 重要 作 
用 ， 本 章 主 要 讲述 的 是 广域网 技术 。 


3.1 公共 交换 电话 网 


公共 交换 电话 网 (Public Switched Telephone Network，PSTN) 是 为 了 话音 通信 而 建立 的 网 
络 ， 从 20 世纪 60 年 代 开 始 又 被 用 于 数据 传输 。 虽 然 各 种 专用 的 计算 机 网 络 和 公用 数据 网 已 经 
迅速 发 展 起 来 ， 能 够 提供 更 好 的 服务 质量 和 更 多 样 的 通信 业务 ， 但 是 PSTN 的 覆盖 面 更 广 ， 联 
网 费用 更 低 ， 因 而 在 有 些 地 方 用 户 仍然 通过 电话 线 拨 号 上 网 。 


3.1.1 电话 系统 的 结构 


电话 系统 是 一 个 高 度 见 余 的 分 级 网 络 。 图 3-1 所 示 为 一 个 简化 了 的 电话 网 。 用 户 电话 通过 
一 对 铜 线 连接 到 最 近 的 端 局 ， 这 个 距离 通常 是 1 一 10km， 并 且 只 能 传送 模拟 信号 。 虽 然 电 话 局 
间 干 线 是 传输 数字 信号 的 光纤 ， 但 是 在 用 电话 线 连 网 时 需要 在 发 送 端 把 数字 信号 变换 为 模拟 信 
号 ， 在 接收 端 再 把 模拟 信号 变换 为 数字 信号 。 由 电话 公司 提供 的 公共 载体 典型 的 带宽 是 4000 Hz， 
称 其 为 话音 信道 。 这 种 信道 的 电气 特性 并 不 完全 适合 数据 通信 的 要 求 ， 在 线路 质量 太 差 时 还 需 
采取 一 定 的 均衡 措施 ， 方 能 减 小 传输 过 程 中 的 失真 。 
端 局 。 长 途 局 。 中 继 局 “长途 局 。” 端 局 


用 户 回路 ”长途 干线 。 局 间 高 速 干线 长途 干 线 用 户 回路 


图 3-1 电话 系统 示意 图 


公用 电话 网 由 本 地 网 和 长 途 网 组 成 ， 本 地 网 覆盖 市 内 电话 、 市 郊 电话 以 及 周围 城镇 和 农村 
的 电话 用 户 , 形成 属于 同一 长 途 区 号 的 局 部 公共 网 络 。 长途 网 提供 各 个 本 地 网 之 间 的 长 话 业务 ， 
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包括 国际 和 国内 的 长 途 电话 服务 。 我 国 的 固定 电话 网 采用 4 级 汇 接 辐射 式 结构 。 最 高 一 级 有 8 
个 大 区 中 心 局 ， 包 括 北 京 、 上 海 、 广 州 、 南 京 、 沈 阳 、 西 安 、 武 汉 和 成 都 。 这 些 中 心 局 互相 连 
接 ， 形 成 网 状 结构 。 第 二 级 共有 22 个 省 中 心 局 ， 包 括 各 个 省 会 城市 。 第 三 级 共有 300 多 个 地 区 中 
心 局 。 第 四 级 是 县 中 心 局 。 大 区 中 心 局 之 间 都 有 直达 线路 ， 以 下 各 级 汇 接 至 上 一 级 中 心 局 ， 并 
辅助 一 定数 量 的 直达 线路 ， 形 成 如 图 3-2 所 示 的 4 级 汇 接 辐 射 式 长 话 网 。 


图 3-2 4 级 汇 接 辐 射 式 长 话 结构 示意 图 


3.1.2 ”本 地 回路 


用 户 把 计算 机 连接 到 电话 网 上 就 可 以 进行 通信 。 按 照 CCITT 的 术语 ， 用户 计算 机 叫 作 数据 
终端 设备 〈Data Terminal Equipment，DIE)， 因 为 这 种 设备 代表 通信 链 路 的 端点 。 在 通信 网 络 
一 边 ， 有 一 个 设备 用 于 管理 网 络 的 接口 ， 这 个 设备 叫 数据 电路 设备 (Data Circuit Equipment， 
DCE)。DCE 通常 指 调制 解 调 器 、 数 传 机 、 基 带 传输 器 、 信 和 号 变换 器 、 自 动 呼叫 和 应 答 设备 等 。 
它们 提供 波形 变换 和 编码 功能 ， 以 及 建立 、 维 持 和 释放 连接 的 功能 。 物 理 层 协议 与 设备 之 间 
(DTE/DCE) 的 物理 接口 以 及 传送 位 的 规则 有 关 。 物 理 介 质 的 各 种 机 械 的 、 电 磁 的 特性 由 物理 
层 和 物理 介质 之 间 的 界线 确定 。 实 际 设备 和 OSI 概念 之 间 的 关系 如 图 3-3 所 示 。 


[oaen| 人 办 线路 _vioacn | 绊 吕 电 统 [ 岳 


(DTE) (DCE) (DCE) (DTE) 


(a) 实际 设备 
端 系统 物理 层 中 继 系 统 物理 层 中 继 系统 物理 层 端 系统 


多 局- [的 理 导 -过 区 -| 雹 于 局- 包 六 -区 于 


物理 介质 物理 介质 物理 介质 


(b) OSI 逻辑 表示 
图 3-3 ”实际 设备 和 OSI 逻辑 表示 之 间 的 关系 
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图 3-3 (a) 中 的 传输 线路 可 以 是 公共 交换 网 或 专用 线 。 在 通信 线路 采用 公共 交换 网 的 情况 
下 ， 正 式 进行 数据 传输 之 前 ，DTE 和 DCE 之 间 先 要 交换 一 些 控制 信号 以 建立 数据 通路 〈 即 逻辑 
连接 ); 在 数据 传输 完成 后 ， 还 要 交换 控制 信号 断 开 数据 通路 。 交 换 控 制 信号 的 过 程 就 是 所 谓 
的 “握手 ”过 程 ， 这 个 过 程 和 DTE/DCE 之 间 的 接 插 方式 、 引 线 分 配 、 电 气 特性 和 应 答 信号 和 
有 关 。 在 数据 传输 过 程 中 ，DTE 和 DCE 之 间 要 以 一 定 的 速率 和 同步 方式 识别 每 一 个 信号 元 素 (1 
或 0)。 对 于 这 些 与 设备 之 间 通 信 有 关 的 技术 细节 ，CCITT 和 ISO 用 4 个 技术 特性 来 描述 ， 并 给 出 
了 适应 不 同情 况 的 各 种 标准 和 规范 。 这 4 个 技术 特性 是 机 械 特性 、 电 气 特性 、 功 能 特性 和 过 程 
特性 。 下 面 以 EIA (Electronic Industries Association) 制定 的 RS-232-C 接口 为 例 说 明 这 4 个 技 
术 特 性 。 


1， 机 械 特性 


机 械 特性 描述 DTE 和 DCE 之 间 物 理 上 的 分 界线 ， 规 定 连 接 器 的 几何 形状 、 尺 寸 大 小 、 引 
线 数 、 引 线 排列 方式 以 及 锁定 装置 等 。RS-232-C 没有 正式 规定 连接 器 
的 标准 ， 只 是 在 其 附录 中 建议 使 用 25 针 的 DD 型 连接 器 (如 图 3-4 所 
示 )。 当 然 ， 也 有 很 多 RS-232-C 设备 使 用 其 他 形式 的 连接 器 ， 特 别 是 
在 微型 机 的 RS-232-C 串 行 接口 上 大 多 使 用 9 针 连 接 器 。 


2. 电气 特性 图 3-4 D 型 连接 器 


DTE 与 DCE 之 问 有 多 条 信号 线 ， 除 了 地 线 之 外 ， 每 根 信号 线 都 有 其 驱动 器 和 接收 器 。 电 
气 特性 规定 这 些 信号 的 连接 方式 以 及 驱动 器 和 接收 器 的 电气 参数 ， 并 给 出 有 关 互 连 电缆 方面 的 
技术 指导 。 

图 3-5 (a) 给 出 了 RS-232-C 采用 的 V28 标准 电路 。V28 的 驱动 器 是 单 端 信号 源 ， 所 有 信 
号 共用 一 根 公 共 地 线 。 信 和 号 源 产 生 3 一 15 V 的 信号 ， 正 负 3V 之 间 是 信号 电 平 过 渡 区 ， 如 图 3-6 所 
示 。 当 接口 点 的 电 平 处 于 过 渡 区 时 ， 信 号 的 状态 是 不 确定 的 ， 当 接口 点 的 电 平 处 于 正 负 信号 区 
间 时 ， 对 于 不 同 的 信号 线 代 表 的 意义 不 一 样 ， 如 表 3-1 所 示 。 

六 到 器 一 |- 互 连 电缆 -一 负载 -| A WE 负载 一 | 


全 


(a) V28 (b) V11 
图 3-5 CCITT 建议 的 接口 电路 
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+15V 
+3V 
_3V a ee 表 3-1 接口 电 平 的 含义 
a 类 型 +3~+15V 
负 信 号 区 间 
0 数据 线 0 


控制 线 和 定时 线 
图 3-6 接口 电路 的 信号 区 间 一 


另外 两 种 常用 的 电气 特性 标准 是 V10 和 V11。V11 是 一 种 平衡 接口 , 每 个 接口 电路 都 用 一 对 
平衡 电缆 构成 各 自 的 信号 回路 (如 图 3-5 (b) 所 示 )。 这 种 连接 方式 减 小 了 信号 线 之 间 的 申 音 。V.10 
的 发 送 端 是 非 平衡 输出 ， 接 收 端 则 是 平衡 输入 ， 用 于 以 上 两 种 电路 之 间 的 转 接 。 


3. 功能 特性 


功能 特性 对 接口 连 线 的 功能 给 出 确切 的 定义 。 从 大 的 方面 ， 接 口 线 的 功能 可 分 为 数据 线 、 
控制 线 、 定 时 线 和 地 线 。 有 的 接口 可 能 需要 两 个 信道 ， 因 而 接口 线 又 可 分 为 主 信道 线 和 辅助 信 

RS-232-C 采用 的 标准 是 V24。V24 为 DTE/DCE 接口 定义 了 44 条 连 线 , 为 DTE/ACE 定义 了 
12 条 连 线 。ACE 为 自动 呼叫 设备 ， 有 时 和 Modem 做 在 一 起 。 按 照 V24 的 命名 方法 ，DTE/DCE 连 
线 用 “1” 开头 的 三 位 数字 命名 , 例如 103、115 等 , 称 为 100 系列 接口 线 。 DTE/ACE 连 线 用 “2” 
开头 的 三 位 数字 命名 ， 例 如 201、202 等 ， 称 为 200 系列 接口 线 。 

RS-232-C 定义 了 21 根 接口 连 线 的 功能 ， 按 照 RS-232-C 的 术语 ， 接 口 连 线 叫 作 互 换 电路 。 
表 3-2 给 出 了 RS-232-C 互 换 电 路 的 功能 定义 ， 同 时 列 出 了 V24 对 应 的 线 号 。 表 中 对 每 一 条 互 换 电 
路 的 功能 进行 了 简要 的 描述 ， 也 说 明了 电路 的 信号 方向 。 关 于 这 些 互 换 电路 的 使 用 方法 则 属于 
下 面 要 讨论 的 过 程 特性 。 


表 3-2 RS-232-C 的 互 换 电 路 功能 


管 |RS-232-C| V24 


DIE|DCE|DIE |pc lpre pcE pre 


司 o 忆 
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续 表 
管 |RS-232-C| V24 控制 定时 测试 
脚 | 电路 DCE|DTE|pcE|pTE|pcE 
4 CA 5 请 求 发 送 
5 CB 允许 发 送 x 
6 CE 数 传 机 就 绪 涛 
0| €D 数据 终端 就 绪 
22| €E 振 铃 指示 x 
8 CF tt 
中 | 66 
2 ©€H x 
23 ct 
24| DA 发 这 耻 同 元 定时 (DTE) x 
15| DB 发 送 器 码 元 定时 (DCE) 泡 
17| .De 接收 器 码 元 定时 (DCE) 汉 
14| SBA 辅助 信道 发 送 数 据 
16 | SBB 辅助 信道 接收 数据 
19 | SCA 辅助 信道 请 求 发 送 x 
13 | SCB 辅助 信道 准备 发 送 
12 | SCF 人 号 检测 
8 | | 保留 电路 , 用 J 测试 | | | | x 
E | | 保留 电路 , 用 J 测试 | | | | x 
18| GD lasa25 Cu) | | | | x 
a5| mw lasasD)] ca | | | | x 


图 3-7 所 示 为 计算 机 异步 终端 设备 ) 和 异步 Modem 连接 的 方法 ， 这 里 只 需要 9 根 连 线 ， 
保护 接地 和 信号 地 线 只 用 一 根 连 线 同 时 接 在 1 和 7 两 个 管 脚 上 。 


4. 过程 特 性 


物理 层 接口 的 过 程 特性 规定 了 使 用 接口 线 实现 数据 传输 的 操作 过 程 ,这 些 操作 过 程 可 能 涉 
及 高 层 的 功能 ， 因 而 对 于 物理 层 操作 过 程 和 高 层 功能 过 程 之 间 的 划分 是 有 争议 的 。 另 一 方面 ， 
对 于 不 同 的 网 络 、 不 同 的 通信 设备 、 不 同 的 通信 方式 、 不 同 的 应 用 ， 各 有 不 同 的 操作 过 程 。 下 
面 举 例 说 明 利用 RS-232-C 进行 异步 通信 的 操作 过 程 。 

RS-232-C 控制 信号 之 间 的 相互 关系 是 根据 互 连 设备 的 操作 特性 随时 间 而 变化 的 。 图 3-8 给 
出 了 计算 机 端口 和 Modem 之 间 控 制 信号 的 定时 关系 。 假定 Modem 打开 电源 后 升 起 DSR 信号 ， 
随后 从 线路 上 传 来 两 次 振 铃 信号 RI, 计算 机 在 响应 第 一 次 振 铃 信号 后 升 起 它 的 数据 终端 就 绪 信 
号 DTR。DTR 信 号 和 第 二 次 振 铃 信号 RI 配合 ,使 得 Modem 回答 呼叫 并 升 起 载波 检测 信号 DCD。 
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如 果 计 算 机 中 的 进程 需要 发 送信 息 , 就 会 升 起 请 求 发 送信 号 RTS, Modem 通过 升 起 允许 发 送信 
号 CTS 予以 响应 ， 之 后 计算 机 端口 就 可 以 开始 传送 数据 。 


1 
Fee 
i 信号 地 
发 送 上- 2 发 送 数据 TD 
电路 上 4 请 求 发 送 RTS 
全 允 许 发 送 CTS 
8 
一 数据 载波 检测 DCD 
人 > 全 接收 数据 RD 
测 |; + 数 传 机 就 绪 DSR 
汪 一 从 一 一 全数 所 并 训 纤 DTR 
管 脚 号 指 ”| 近 锥 指 丰 
25 针 连 接 器 
Modem 终端 或 计算 机 


图 3-7 异步 通信 时 DTE/DCE 的 连接 


图 3-8 异步 通信 时 控制 信号 的 定时 关系 
3.1.3 “调制解调器 


调制 解 调 器 (Modulation and Demodulation，Modem) 通常 由 电源 、 发 送 电 路 和 接收 电路 
组 成 。 电 源 提供 Modem 工作 所 需要 的 电压 ; 发 送 电路 中 包括 调制 器 、 放 大 器 ， 以 及 滤波 、 整 形 和 
信和 号 控制 电路 ， 它 的 功能 是 把 计算 机 产生 的 数字 脉冲 转换 为 已 调制 的 模拟 信号 ; 接收 电路 包括 
解 调 器 以 及 有 关 的 电路 , 它 的 作用 是 把 模拟 信号 变 成 计算 机 能 接收 的 数字 脉冲 。Modem 的 组 成 
原理 如 图 3-9 所 示 ， 图 中 上 半 部 分 是 发 送 电路 ， 下 半 部 分 是 接收 电路 ， 图 中 的 虚线 框 用 在 同步 
Modem 中 。 

现代 的 高 速 Modem 采用 格 码 调制 (Trellis Coded Modulation，TCM) 技术 。 这 种 技术 在 编 
码 过 程 中 插入 一 个 匈 余 位 进行 纠 错 ， 从 而 减 小 了 误 码 率 。 按 照 CCITT 的 V32 建议 ， 调 制 器 的 
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输入 数据 流 被 分 成 4 位 的 位 组 ，4 位 组 经 过 卷 积 编码 产生 了 第 5 个 元 余 校 验 位 。 包 括 元 余 位 的 
5 位 组 在 复 平面 上 的 分 布 表示 在 图 3-10 的 星座 图 中 ， 每 个 码 点 最 左边 的 位 是 元 余 位 。 


请 求 发 送 


| 发 送 器 


-| 编码 器 [一 扰 码 器 一 | 调制 和 放大 滤波 一 电话 线 


滤波 和 放大 | 一 一 电话 线 
a 载波 检测 
数据 载波 检测 电路 接收 器 
图 3-9 Modem 设备 的 组 成 原理 框图 
90°Im 
llllle 4 » 11000 
01000。 00101 。01010 
(D) © 
10010。 I0I0le 2 。10011 。10100 
00000 。 01111 。 00010 ® O1101 ® O0011 
180°. | 人 1 1 1 | 由 | 一 一 O°Re 
4 100 2 1N10 110I0 2 10 4 
0011le O1001® 2 00110 。01011 » 00100 
1000。 10llIle 10001 » 10110 
| (B®) 
01110。 00001 。 01100 
11100。 4 e11011 
270 


图 3-10 V32 格 码 调制 的 星座 图 
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接收 Modem 检测 这 种 格 码 调制 信号 时 使 用 维特 比 (Viturbi) 译 码 器 ， 这 种 译 码 器 不 像 通 常 
的 “ 硬 比特 ”检测 器 那样 一 位 一 位 地 进行 判断 ， 而 是 对 多 达 32 位 的 一 组 位 进行 比较 ， 判 断 出 每 一 
位 的 正确 值 。 做 出 判断 的 过 程 是 按照 形似 网 格 的 决策 树 进行 的 ， 因 而 这 种 调制 技术 叫 网 格 编码 
调制 ,简称 格 码 调制 。 使 用 格 码 调制 技术 的 V32Modem 可 以 在 公共 交换 网 上 实现 9600bps 的 高 速 
传输 。 

进一步 提高 传输 速度 还 可 以 在 其 他 技术 方面 寻求 解决 办 法 ,例如 采用 数据 压缩 技术 。 有 一 
种 V.29 Modem， 虽 然 工 作 在 9600 bps， 但 是 由 于 使 用 的 数据 压缩 算法 可 达到 2:1 的 压缩 比 ， 所 
以 数据 发 送 速率 理论 上 可 达到 19 200 bps。 

另外 一 种 高 速 Modem 采用 了 高 速 微 处 理 器 和 大 约 70 000 行 指令 ， 由 于 采用 多 个 音频 组 成 
的 载波 群 对 数据 进行 分 组 传输 ， 因 而 叫 作 分 组 集群 式 Modem。 这 种 Modem 的 工作 过 程 是 这 样 
的 : 首先 原 发 方 Modem 同时 发 送 512 个 音频 载波 信号 ,接收 Modem 对 收 到 的 所 有 载波 信号 进 
行 评价 ， 向 原 发 Modem 报告 哪些 频率 可 用 ， 哪 些 频率 不 能 使 用 。 然 后 原 发 方 Modem 根据 侦察 
到 的 线路 情况 确定 最 适合 的 调制 方式 ， 可 能 是 2 位 、4 位 或 6 位 的 QAM 信号 。 例 如 ， 若 400 
个 音频 载波 可 用 ， 调 制 方案 为 6 位 QAM， 则 400X 6=2 400， 即 可 同时 传送 2400 位 。 如 果 每 种 
载波 都 是 一 秒 钟 变化 4 次 ， 则 可 得 到 约 10 000bps 的 数据 速率 。 

1996 年 出 现 了 56kbps 的 Modem， 并 于 1998 年 形成 了 ITU 的 V90 建议 。 这 种 Modem 采 
用 非 对 称 的 工作 方式 ， 从 客户 端 向 服务 器 端 发 送 称 为 上 行 信道 ， 其 数据 速率 为 28.8kbps 或 
33.6kbps; 从 服务 器 端 向 客户 端 发 送 称 为 下 行 信道 ， 其 数据 速率 可 以 达到 56kbps。 其 之 所 以 采 
用 非 对 称 的 工作 方式 , 是 因为 客户 端 发 送 数据 时 要 采用 模 数 转换 , 会 出 现 量 化 噪声 , 使 得 Modem 
的 数据 速率 受到 限制 。ISP 一 端的 服务 器 采用 数字 干线 连接 ， 无 须 模 数 转换 ， 不 会 出 现 量 化 噪 
声 ， 因 而 可 以 用 到 PCM 编码 调制 的 最 高 数据 速率 56kbps。 这 种 技术 的 出 现 适应 了 通过 电话 线 
实现 准 高 速 连接 Intemet 的 需求 ， 成 为 因特网 用 户 首选 的 连 网 技术 。 


3.2 X.25 公共 数据 网 


公共 数据 网 是 在 一 个 国家 或 全 世界 范围 内 提供 公共 电信 服务 的 数据 通信 网 .CCITT 于 1974 
年 提出 了 访问 分 组 交换 网 的 协议 标准 ， 即 X.25 建议 ， 后 来 又 进行 了 多 次 修订 。 这 个 标准 分 为 3 
个 协议 层 ， 即 物理 层 、 链 路 层 和 分 组 层 ， 分 别 对 应 于 ISO/OSI 参考 模型 的 低 三 层 。 

物理 层 规定 用 户 终 端 与 网 络 之 间 的 物理 接口 ， 这 一 层 协议 采用 X.21 或 X.21bis 建议 。 链 路 
层 提 供 可 靠 的 数据 传输 功能 ， 这 一 层 的 标准 叫 作 LAP-B (Link Access Procedure-Balanced)， 它 
是 HDLC 的 子 集 。 分 组 层 提供 外 部 虚 电 路 服务 , 这 一 层 协 议 是 和 .25 建议 的 核心 , 特别 称 为 X.25 
PLP 协议 〈Packet Layer Protocol)。 图 3-11 给 出 了 这 三 层 之 间 的 关系 。 
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用 户 数据 
分 组 头 义 25 分 组 
帧 头 帧 尾 LAP-B 帧 
物理 层 X.21 接 口 


图 3-11 XX.25 的 分 层 结构 
3.2.1 流量 控制 和 差错 控制 


流量 控制 是 一 种 协调 发 送 站 和 接收 站 工作 步调 的 技术 ， 其 目的 是 避免 由 于 发 送 速度 过 快 ， 
使 得 接收 站 来 不 及 处 理 而 丢失 数据 。 通 常 ， 接 收 站 有 一 定 大 小 的 接收 缓冲 区 ， 当 接收 到 的 数据 
进入 缓冲 区 后 ， 接 收 器 要 进行 简单 的 处 理 ， 然 后 才能 清除 缓冲 区 ， 再 开始 接收 下 一 批 数据 。 如 
果 发 送 得 过 快 ， 缓 冲 区 就 会 溢出 ， 从 而 引起 数据 的 丢失 。 通 过 流 控 机 制 可 以 避免 这 种 情况 的 发 生 。 

首先 讨论 没有 传输 错误 的 流 控 技术 ， 即 传输 过 程 中 不 会 丢失 帧 ， 接 收 到 的 帧 都 是 正确 的 ， 
无 须 重 传 ， 并 且 所 有 发 出 的 帧 都 能 按 顺 序 到 达 接收 端 。 


1， 停 等 协议 


最 简单 的 流 控 协 议 是 停 等 协议 。 它 的 工作 原理 是 : 发 送 站 发 出 一 帧 ， 然 后 等 待 应 答 信号 到 
达 后 再 发 送 下 一 帧 ， 接 收 站 每 收 到 一 帧 后 送 回 一 个 应 答 信 号 〈ACK)， 表 示 愿 意 接收 下 一 帧 ， 
如 果 接 收 站 不 送 回应 答 ， 则 发 送 站 必须 等 待 。 这 样 ， 在 源 和 目标 之 间 的 数据 流动 是 由 接收 站 控 
制 的 。 

假设 在 半 双 工 的 点 对 点 链 路 上 ，Si 站 向 Sz 站 发 送 数据 帧 ，S; 每 发 出 一 个 帧 就 等 待 S: 送 回 
应 答 信号 。 根 据 图 3-12 所 示 ， 发 送 一 帧 的 时 间 为 

TEA=2 t+ 
其 中 ， 尹 为 传播 延迟 ， 力 为 发 送 一 帧 的 时 间 〈 称 为 一 帧 时 )。 


图 3-12 停 等 协议 的 效率 
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于 是 线路 的 利用 率 为 
匡 = 二 学 GD 
2t,+ty 
定义 呈 刀 /加 则 
-1 (3.2) 
2a+1 


这 是 在 停 等 协议 下 线路 的 最 高 利用 率 ， 也 可 以 认为 是 停 等 协议 的 效率 。 事 实 上 ， 数 据 帧 中 
还 包含 一 些 控制 信息 ， 例 如 地 址 信息 及 校 验 和 等 ， 再 加 上 已 忽略 了 的 某 些 时 间 开 销 ， 因 而 实际 
的 线路 利用 率 更 低 。 

为 了 更 深入 地 理解 式 (3.2) 的 含义 ， 对 a 进行 一 些 分 析 。 由 于 a 是 线路 传播 延迟 和 一 个 帧 
时 的 比 ， 故 在 线路 长 度 和 帧 长 固定 的 情况 下 a 是 一 个 常数 。 又 由 于 线路 传播 延迟 是 线路 长 度 4 
和 信号 传播 速度 v 的 比值 ， 而 一 帧 时 是 帧 长 工 和 数据 速率 尺 的 比 ， 因 而 有 


d/lv_ Rd/lv 
A (3:3) 


式 (3.3) 的 分 子 Rahv 的 单位 为 位 ， 其 物理 意义 是 线路 上 能 容纳 的 最 大 位 数 ， 即 线路 的 位 
长 度 ， 它 是 由 线路 的 物理 特性 决定 的 。 因 而 ，a 可 理解 为 线路 位 长 和 帧 长 的 比 ， 或 者 说 线路 的 
帧 计数 长 度 。 

考虑 下 面 的 例子 。 通 常 卫星 信道 的 传播 延迟 是 270ms， 假 设 数据 速率 是 64kbps， 帧 长 是 
4000 位 。 对 于 卫星 链 路 可 得 


a=64 X 270/4000=4.32>1 
根据 式 〈3.2)， 卫 星 链 路 的 利用 率 为 


ee SE 
E771 2X43271 0 


可 见 卫星 链 路 的 利用 率 仅 为 10 左右 ， 大 量 的 时 间 用 在 等 待 应 答 信号 上 了 。 

按照 最 新 的 传输 技术 , 传送 一 帧 的 时 间 会 降 到 6ms, 甚至 12Shs。 这 样 a 的 值 将 是 45 一 2160， 
在 应 用 停 等 协议 的 情况 下 ， 链 路 的 利用 率 可 能 只 有 0.0002。 

另外 一 个 例子 是 局 域 网 ， 线 路 长 度 4 一 般 为 0.1 一 10km， 传 播 速度 200nyhs。 设 数据 速 
率 R=10Mbps， 帧 长 天 500 位 ， 则 a 的 取 值 范围 为 10 一 1。 如 果 取 a=0.1， 则 链 路 的 利用 率 为 
0.83; 如 果 取 a=0.01， 则 链 路 的 利用 率 为 0.98。 可 见 ， 在 局 域 网 上 利用 简单 的 停 等 协议 时 效率 
要 高 得 多 。 


2. 滑动 窗口 协议 
滑动 窗口 协议 的 主要 思想 是 允许 连续 发 送 多 个 帧 而 无 须 等 待 应答 。 如 图 3-13 所 示 ， 假 设 站 
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S1 和 S, 通 过 全 双 工 链 路 连接 ，S;, 维持 能 容纳 6 个 帧 的 缓冲 区 (Ww=6)。 这 样 ，Si 就 可 以 连续 
发 送 6 个 帧 而 不 必 等 待 应答 信 号 (到 a=6)。 为 了 使 S 能 够 表示 哪些 帧 已 被 成 功 地 接收 ， 每 个 帧 
都 给 予 一 个 顺序 编号 。 如 果 帧 编号 字段 为 位 ， 则 帧 以 2 为 模 连 续 编号 。S。 发 出 一 个 应 答 信号 
ACKi， 并 把 窗口 滑动 到 i~~Witl 的 位 置 ， 表 明 i 之 前 的 帧 已 正确 接收 ， 期 望 接收 后 续 的 下 个 
帧 。 由 于 随 着 数据 传送 过 程 的 进展 窗口 向 前 滑动 ， 因 而 取 名 为 滑动 窗口 协议 。 


Si 


67012… 
图 3-13 滑动 窗口 协议 的 效率 


一 -一 ACKI 


现在 考查 窗口 大 小 (WW) 对 协议 效率 的 影响 。 按 照 图 3-13， 假 设 S: 向 S$, 发 出 0 号 帧 ，S> 
收 到 0 号 帧 后 返回 应 答 帧 ACK1， 并 把 窗口 滑动 到 图 中 虚线 的 位 置 。 根 据 前 面 的 分 析 ， 从 0 号 
帧 开始 发 送 到 ACK1 到 达 Si 的 时 间 是 2+fy。 在 这 段 时 间 内 ，Si 可 连续 发 送 下 个 帧 ， 它 的 工作 
时 间 是 于 多 加 所 以 协议 的 效率 为 
机 Wxits W 


= = (3.4) 
21t, + 2a+1l 


在 以 上 讨论 中 ， 都 假定 发 送 应 答 信号 的 时 间 可 忽略 。 其 实 应 答 信号 是 用 专门 的 控制 帧 传输 
的 ， 也 需要 一 定 的 时 间 来 发 送 和 处 理 。 在 利用 全 双 工 线路 进行 双向 通信 的 情况 下 ， 应 答 信号 可 
以 放 在 S; 到 S, 方 向 发 送 的 数据 帧 中 ， 这 种 技术 叫 “ 撒 带 应 答 ”。 如 果 应 答 信号 被 撒 带 送 回 发 送 
站 ， 则 应 答 信号 的 传送 时 间 可 计 入 反 向 发 送 数 据 帧 的 时 间 中 ， 因 而 上 面 的 假定 是 符合 实际 情 
况 的 。 


3. 差错 控制 


差错 控制 是 检测 和 纠正 传输 错误 的 机 制 。 前 面 假定 没有 传输 错误 ， 但 实际 情况 不 是 这 样 。 
在 数据 传输 过 程 中 有 的 帧 可 能 丢失 ， 有 的 帧 可 能 包含 错误 的 位 ， 这 样 的 帧 经 接收 器 校 验 后 会 被 
拒绝 。 通 常 ， 应 付 传输 差错 的 办 法 如 下 。 

(1) 肯定 应 答 。 接 收 器 对 收 到 的 帧 校 验 无 误 后 送 回 肯定 应 答 信 号 ACK， 发 送 器 收 到 肯定 应 答 
信号 后 可 继续 发 送 后 续 帧 。 

〈2) 否定 应 答 重 发 。 接收 器 收 到 一 个 帧 后 经 校 验 发 现 错误 , 则 送 回 一 个 否定 应 答 信号 NAK， 
发 送 器 必须 重新 发 送出 错 帧 。 
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(3) 超时 重 发 。 发 送 器 从 发 送 一 个 帧 时 就 开始 计时 ， 在 一 定 的 时 间 间 隔 内 若 没 有 收 到 关于 
该 帧 的 应 答 信号 ， 则 认为 该 帧 丢失 并 重新 发 送 。 

这 种 技术 的 主要 思想 是 利用 差错 检测 技术 自动 地 对 丢失 帧 和 错误 帧 请 求 重 发 ， 因 而 叫 作 
ARQ (Automatic Repeat reQuest) 技术 。 结 合 前 面 讲 的 流 控 技 术 ， 可 以 组 成 3 种 形式 的 ARQ 
协议 。 

1) 停 等 ARQ 协议 

停 等 ARQ 协议 是 停 等 流 控 技 术 和 自动 请 求 重 发 技术 的 结合 。 根据 停 等 ARQ 协议 , 发 送 站 
发 出 一 帧 后 必须 等 待 应 答 信号 ， 收 到 肯定 应 答 信号 ACK 后 继续 发 送 下 一 帧 ， 收 到 否定 应 答 信 
号 NAK 后 重 发 该 帧 ;， 若 在 一 定 的 时 间 间 隔 内 没有 收 到 应 答 信 号 也 必须 重 发 。 最 后 一 种 情况 值 
得 注意 ， 没 有 收 到 应 答 信号 的 原因 可 能 是 帧 丢失 了 ， 也 可 能 是 应 答 信号 丢失 了 。 无 论 哪 一 种 原 
因 , 发 送 站 都 必须 重新 发 送 原来 的 帧 。 发 送 站 必须 有 一 个 重 发 计时 器 , 每 发 送 一 帧 就 开始 计时 。 
计时 长 度 不 能 小 于 信号 在 线路 上 一 个 来 回 的 时 间 。 另 外 在 停 等 ARQ 协议 中 ， 只 要 能 区 分 两 个 
相 邻 的 帧 是 否 重 复 就 可 以 了 ， 因 此 只 用 0 和 1 两 个 编号 ， 即 帧 编号 字段 长 度 为 1 位 。 图 3-14 表 
示 出 了 各 种 可 能 的 传送 情况 。 

超时 超时 


Si -1 


帧 0 帧 0 帧 0 /ui fh 帧 0 /mo fu 
WwW ww \ va NAKI ACK1 NO 
S2 / il 


图 3-14 停 等 ARQ 协议 


2) 选择 重 发 ARQ 协议 

下 面 介绍 的 协议 是 滑动 窗口 技术 和 自动 请 求 重 发 技术 的 结合 。 由 于 窗口 尺寸 开 到 足够 大 
时 ， 帧 在 线路 上 可 以 连续 地 流动 ， 因 此 又 称 其 为 连续 ARQ 协议 。 根 据 出 错 帧 和 丢失 帧 处 理 上 
的 不 同 ， 连 续 ARQ 协议 分 为 选择 重 发 ARQ 协议 和 后 退 六 帧 ARQ 协议 。 

图 3-15 为 两 种 连续 ARQ 协议 的 例子 ， 图 3-15 (Ca) 是 在 全 双 工 线路 上 应 用 选择 重 发 ARQ 
协议 时 帧 的 流动 情况 。 其 中 第 2 帧 出 错 ， 随 后 的 3、4、5 帧 被 缓存 。 当 发 送 站 接收 到 NAK2 时 ， 
重 发 第 2 帧 。 值 得 强调 的 是 ， 虽 然 在 选择 重 发 的 情况 下 接收 器 可 以 不 按 顺 序 接收 ， 但 接收 站 的 
链 路 层 向 网 络 层 仍 是 按 顺 序 提交 的 。 

对 于 选择 重 发 ARQ 协议 ， 窗 口 的 大 小 有 一 定 的 限制 。 假 设 帧 编号 为 3 位 ， 发 送 和 接收 窗 
大 小 都 是 7， 考虑 下 面 的 情况 。 
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(1) 发 送 窗 口 和 接收 窗口 中 的 帧 编号 都 是 0 一 6。 

(2) 发 送 站 发 出 0 一 6 号 帧 ， 但 尚未 得 到 肯定 应 答 ， 窗 口 不 能 向 前 滑动 。 

(3) 接收 站 正确 地 接收 了 0 一 6 号 帧 ， 发 出 ACK7， 接 收 窗口 向 前 滑动 ， 新 窗口 中 的 帧 编 
号 为 计 0 和 和 名 各 

(4) ACK7 丢失 ， 发 送 站 定时 器 超时 ， 重 发 0 号 帧 。 


(5) 接收 站 收 到 0 号 帧 ， 看 到 该 帧 编号 落 在 接收 窗口 内 ， 以 为 是 新 的 0 号 帧 而 保存 起 来 ， 
这 样 协议 就 出 错 了 。 
RS 


中 团 国 国 团 轩 回国 加 加 上 癌 


回回 团团 加 回国 园 轩 加 加 中 品 


MX A 二 % A 
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(b) 后 退 入 帧 ARQ 协议 
图 3-15 连续 ARQ 协议 的 例子 


协议 失败 的 原因 是 由 于 发 送 窗口 没有 向 前 滑动 ， 接 收 窗口 向 前 滑动 了 最 大 的 距离 ， 而 新 的 
接收 窗口 和 原来 的 发 送 窗口 中 仍 有 相同 的 帧 编号 ， 造 成 了 接收 器 误 把 重 发 的 帧 当 作 新 到 帧 。 避 
免 这 种 错误 的 办 法 就 是 缩小 窗口 ， 使 得 接收 窗口 向 前 滑动 最 大 距离 后 不 再 与 旧 的 接收 窗口 重 
合 。 显 然 ， 当 窗口 大 小 为 帧 编号 数 的 一 半 时 就 可 以 达到 这 个 效果 ， 所 以 采用 选择 重 发 ARQ 协 
议 时 窗口 的 最 大 值 应 为 帧 编号 数 的 一 半 ， 即 画 s=Ww< 2 。 


4. 后 退 六 帧 ARQ 协议 


后 退 六 帧 ARQ 协议 就 是 从 出 错 处 重 发 已 发 出 过 的 六 个 帧 。 在 图 3-15 (b) 中 ， 接 收 窗口 
的 大 小 为 1， 因 而 接收 器 必须 按 顺 序 接收 ， 当 第 2 帧 出 错时 ，2、3、4、5 号 帧 都 必须 重 发 。 

再 一 次 强调 在 全 双 工 通信 中 应 答 信号 可 以 由 反方 向 传送 的 数据 帧 “ 撒 带 ” 送 回 ， 这 种 机 制 
进一步 减 小 了 通信 开销 ， 然 而 也 带 来 了 一 定 的 问题 。 在 很 多 朱 带 方案 中 ， 反 向 数据 帧 中 的 应 答 
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字段 总 是 捕 带 一 个 应 答 信号 ， 这 样 就 可 能 出 现 对 同一 个 帧 的 重复 应 答 。 假 定 帧 编号 字段 为 3 位 
长 ， 发 送 窗 口 大 小 为 8。 当 发 送 器 收 到 第 一 个 ACK1 后 把 窗口 推进 到 后 沿 为 1、 前 沿 为 0 的 位 
置 ， 即 发 送 窗 口 现 在 包含 的 帧 编号 为 I 2、3、4、5、6、7、0。 如 果 这 时 又 收 到 一 个 撒 带 回 的 
ACK1， 发 送 器 如 何 做 呢 ? 后 一 个 ACK1 可 能 表示 窗口 中 的 所 有 帧 都 未 曾 接收 ， 也 可 能 意味 着 
窗口 中 的 帧 都 已 正确 接收 。 然 而 ， 如 果 规 定 窗口 的 大 小 为 7， 则 可 以 避免 这 种 二 义 性 。 所 以 ， 
在 后 退 六 帧 协议 中 必须 限制 发 送 窗口 大 小 矿 <2< 1。 

3.2.2 HDLC 协议 


数据 链 路 控制 协议 可 分 为 两 大 类 : 面向 字符 的 协议 和 面向 位 的 协议 。 面 向 字符 的 协议 以 字 
符 作为 传输 的 基本 单位 , 并 用 10 个 专用 字符 控制 传输 过 程 。 这 类 协议 发 展 较 早 , 至 今 仍 在 使 用 。 
面向 位 的 协议 以 位 作为 传输 的 基本 单位 ， 它 的 传输 效率 高 ， 已 广泛 地 应 用 于 公共 数据 网 上 。 这 
一 小 节 介 绍 一 种 面向 位 的 数据 链 路 控制 协议 。 

HDLC (High Level Data Link Control, 高 级 数据 链 路 控制 ) 协 议 是 国际 标准 化 组 织 根据 IBM 
公司 的 SDLC (Synchronous Data Link Control) 协议 扩充 开发 而 成 的 。 美 国 国家 标准 化 协会 
(CANSI) 则 根据 SDLC 开发 出 类 似 的 协议 ， 叫 作 ADCCP 协议 (Advanced Data Communication 
Control Procedure)。 以 下 的 讨论 都 是 基于 HDLC 。 


1. HDLC 的 基本 配置 


HDLC 定义 了 3 种 类 型 的 站 、 两 种 链 路 配置 和 3 种 数据 传输 方式 。3 种 站 分 别 如 下 。 

(1) 主 站 。 对 链 路 进行 控制 ， 主 站 发 出 的 帧 叫 命令 帧 。 

(2) 从 站 。 在 主 站 控制 下 进行 操作 ， 从 站 发 出 的 帧 叫 响应 帧 。 

(3) 复合 站 。 具 有 主 站 和 从 站 的 双重 功能 。 复 合 站 既 可 以 发 送 命令 帧 也 可 以 发 出 响应 帧 。 

两 种 链 路 配置 如 下 。 

(1) 不 平衡 配置 。 适 用 于 点 对 点 和 点 对 多 点 链 路 。 这 种 链 路 由 一 个 主 站 和 一 个 或 多 个 从 站 
组 成 ， 支 持 全 双 工 或 半 双 工 传输 。 

(2) 平衡 配置 。 仅 用 于 点 对 点 链 路 。 这 种 配置 由 两 个 复合 站 组 成 ， 支 持 全 双 工 或 半 双 工 
传输 。 

3 种 数据 传输 方式 如 下 。 

(1) 正常 响应 方式 (Normal Response Mode，NRM)。 适 用 于 不 平衡 配置 ， 只 有 主 站 能 启 
动 数据 传输 过 程 ， 从 站 收 到 主 站 的 询问 命令 时 才能 发 送 数据 。 

(2) 异步 平衡 方式 Asynchronous Balanced Mode，ABM)。 适 用 于 平衡 配置 ， 任 何 一 个 复 
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合 站 都 无 须 取得 另 一 个 复合 站 的 允许 就 可 以 启动 数据 传输 过 程 。 

(3) 异步 响应 方式 (Asynchronous Response Mode，ARM)。 适 用 于 不 平衡 配置 ， 从 站 无 须 
取得 主 站 的 明确 指示 就 可 以 启动 数据 传输 ， 主 站 的 责任 只 是 对 线路 进行 管理 。 

正常 响应 方式 可 用 于 计算 机 和 多 个 终端 相连 的 多 点 线路 上 ， 计 算 机 对 各 个 终端 进行 轮 
询 以 实现 数据 输入 。 正 常 响应 方式 也 可 以 用 于 点 对 点 的 链 路 上 ， 例 如 计算 机 和 一 个 外 设 相 
连 的 情况 。 异 步 平衡 方式 能 有 效 地 利用 点 对 点 全 双 工 链 路 的 带宽 ， 因 为 这 种 方式 没有 轮 询 的 开 
销 。 异 步 响应 方式 的 特点 是 各 个 从 站 轮流 询问 中 心 站 ， 这 种 传输 方式 很 少 使 用 。 


2. HDLC 帧 结构 


HDLC 使 用 统一 的 帧 结构 进行 同步 传输 ， 图 3-16 所 示 为 HDLC 的 帧 结构 。 从 图 中 可 以 看 
出 ，HDLC 帧 由 6 个 字段 组 成 。 以 两 端的 标志 字段 (F) 作为 帧 的 边界 ， 在 信息 字段 (INFO) 
中 包含 了 要 传输 的 数据 。 下 面 对 HDLC 帧 的 各 个 字段 分 别 予 以 解释 。 


全 


可 扩展 可 扩展 


INFO FCS F 
可 变 ee | 8 


图 3-16 HDLC 帧 结构 


(1) 帧 标志 FE。HDLC 用 一 种 特殊 的 位 模式 01111110 作为 帧 的 边界 标志 。 链 路 上 所 有 的 站 
都 在 不 断 地 探索 标志 模式 ， 一 旦 得 到 一 个 标志 就 开始 接收 帧 。 在 接收 帧 的 过 程 中 如 果 发 现 一 个 
标志 ， 则 认为 该 帧 结束 了 。 由 于 帧 中 间 出 现 位 模式 01111110 时 也 会 被 当 作 标 志 ， 从 而 破坏 了 帧 
的 同步 ， 所 以 要 使 用 位 填充 技术 。 发 送 站 的 数据 位 序列 中 一 旦 发 现 0 后 有 5 个 1， 则 在 第 7 位 
插入 一 个 0， 这 样 就 保证 了 传输 的 数据 中 不 会 出 现 与 帧 标志 相同 的 位 模式 。 接 收 站 则 进行 相反 
的 操作 : 在 接收 的 位 序列 中 如 果 发 现 0 后 有 5 个 1， 则 检查 第 7 位 ， 若 第 7 位 为 0 则 删除 ， 若 
第 7 位 是 1 且 第 8 位 是 0， 则 认为 是 检测 到 帧 尾 的 标志 ; 若 第 7 位 和 第 8 位 都 是 1， 则 认为 是 发 
送 站 的 停止 信号 。 有 了 位 填充 技术 ， 任 意 的 位 模式 都 可 以 出 现在 数据 帧 中 ， 这 个 特点 叫 作 透明 
的 数据 传输 。 

(2) 地 址 字段 A。 地 址 字段 用 于 标识 从 站 的 地 址 ， 用 在 点 对 多 点 链 路 中 。 地 址 通常 是 8 位 
长 ， 然 而 经 过 协商 之 后 ， 也 可 以 采用 更 长 的 扩展 地 址 。 扩 展 的 地 址 字段 如 图 3-17 所 示 ， 可 以 看 
出 ， 它 是 8 位 组 的 整数 倍 。 每 一 个 8 位 组 的 最 低位 表示 该 8 位 组 是 否 是 地 址 字段 的 结尾 : 若 为 
1， 表 示 是 最 后 的 8 位 组 ; 若 为 0， 则 不 是 。 所 有 8 位 组 的 其 余 7 位 组 成 了 整个 扩展 地 址 字段 。 
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全 为 1 的 8 位 组 (11111111) 表示 广播 地 址 。 


0 7 位 地 址 [0[ ?位 ww 址 | | 1 7 位 地 址 


图 3-17 HDLC 扩展 地 址 


(3) 控制 字段 C。HDLC 定义 了 3 种 帧 ， 可 根据 控制 字段 的 格式 区 分 。 信 息 帧 (I 帧 ) 承 
载 着 要 传送 的 数据 ， 此 外 还 撒 带 着 流量 控制 和 差错 控制 的 应 答 信 号 。 管 理 帧 (S 帧 )》 用 于 提供 
ARQ 控制 信息 ， 当 不 使 用 撒 带 机 制 时 要 用 管理 帧 控制 传输 过 程 。 无 编号 帧 提供 建立 、 释 放 等 链 
路 控制 功能 ， 以 及 少量 信息 的 无 连接 传送 功能 。 控 制 字段 第 1 位 或 前 两 位 用 于 区 别 3 种 不 同 格 
式 的 帧 ， 如 图 3-18 所 示 。 基 本 的 控制 字段 是 8 位 长 ， 扩 展 的 控制 字段 为 16 位 长 。 


mT ve TO mr ve Fv | 
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(a) 基本 控制 字段 (b) 扩展 控制 字段 
图 3-18 ”控制 字段 格式 


(4) 信息 字段 INFO。 只 有 工 帧 和 某 些 无 编号 帧 含有 信息 字段 。 这 个 字段 可 含有 用 于 表示 
用 户 数据 的 任何 序列 ， 其 长 度 没有 规定 ， 但 具体 的 实现 往往 限定 了 最 大 帧 长 。 

(5) 帧 校 验 序列 FCS。FCS 中 含有 各 个 字段 的 校 验 (标志 字段 除外 )。 通 常 使 用 CRC-CCITT 
标准 产生 16 位 校 验 序列 ， 有 时 也 使 用 CRC-32 产生 32 位 校 验 序列 。 


3. HDLC 帧 类 型 


HDLC 协议 的 帧 类 型 如 表 3-3 所 示 。 下 面 结 合 HDLC 的 操作 介绍 这 些 帧 的 作用 。 


表 3-3 HDLC 协议 的 帧 类 型 


名 字 功 能 描 述 
信息 帧 CD 命令 /响应 交换 用 户 数据 
管理 帧 (S) 
接收 就 绪 (RR) 命令 /响应 肯定 应 答 ， 可 以 接收 第 站 帧 
接收 未 就 绪 (RNR) 命令 /响应 肯定 应 答 ， 不 能 继续 接收 
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续 表 

名 字 | 功能 | 描述 
拒绝 接收 (REJ) 否定 应 答 ， 后 退 入 帧 重 发 
选择 性 拒绝 接收 (SREJ) 否定 应 答 ， 选 择 重 发 
无 编号 帧 U) 
置 正常 响应 方式 (SNRMD 命令 置 数据 传输 方式 NRM 
置 扩展 的 正常 响应 方式 (SNRME) 命令 置 数据 传输 方式 为 扩展 的 NRM 
置 异步 响应 方式 (SARM) 命令 置 数据 传输 方式 ARM 
置 扩展 的 异步 响应 方式 (SARME) 命令 置 数据 传输 方式 为 扩展 的 ARM 
置 异 步 平衡 方式 (SABM) 命令 置 数据 传输 方式 ABM 
置 扩 展 的 异步 平衡 方式 (SABME ) 置 数据 传输 方式 为 扩展 的 ABM 
置 初始 化 方式 (SIMD) 由 接收 站 启动 数据 链 路 控制 过 程 
拆除 连接 (DISC) 拆除 逻辑 连接 
无 编号 应 答 (UA) 对 置 方式 命令 的 肯定 应 答 
非 连接 方式 DM) 从 站 处 于 逻辑 上 断 开 的 状态 
请 求 拆除 连 接 (RD) 请 求 断 开 凶 辑 连 接 
请 求 初始 化 方式 (RIM) 请 求 发 送 SIM 命令 ， 启 动 初始 化 过 程 
无 编号 信息 UI) 交换 控制 信息 
无 编号 询问 (UP) 请 求 发 送 控制 信息 
复位 (RSET) 用 于 复位 , 重 置 N(R), N (S) 
交换 标识 (XID) 交换 标识 和 状态 


测试 (TEST) 交换 用 于 测试 的 信息 字段 
帧 拒绝 (PRMR) 响应 报告 接收 到 不 能 接收 的 由 


(1) 信息 帧 。 信 息 帧 除 承 载 用 户 数据 之 外 还 包含 该 帧 的 编号 N(S)， 以 及 捕 带 的 肯定 应 答 顺 
序号 NGRD)。 工 帧 还 包含 一 个 PF 位 ， 在 主 站 发 出 的 命令 帧 中 这 一 位 表示 P， 即 轮 询 (polling); 
在 从 站 发 出 的 响应 帧 中 这 一 位 是 F 位 ， 即 终止 位 〈final)。 在 正常 响应 方式 下 ， 主 站 发 出 的 工 格 
式 命令 帧 中 的 PF 位 置 1， 表 示 该 帧 是 询问 帧 ， 允 许 从 站 发 送 数据 。 从 站 响应 主 站 的 询问 ， 可 
以 发 送 多 个 响应 帧 ， 其 中 仅 最 后 一 个 响应 帧 的 P/F 位 置 1， 表 示 一 批 数据 发 送 完毕 。 在 异步 响 
应 方式 和 异步 平衡 方式 下 ，P/F 位 用 于 控制 S 帧 和 T 帧 的 交换 过 程 。 

(2) 管理 帧 。 管 理 帧 用 于 进行 流量 和 差错 控制 ， 当 没有 足够 多 的 信息 帧 撒 带 管理 命令 /响应 
时 ， 要 发 送 专门 的 管理 帧 来 实现 控制 。 从 表 3-3 看 出 ， 有 4 种 管理 帧 可 以 用 控制 字段 中 的 两 个 
S 位 来 区 分 。RR 帧 表示 接收 就 绪 ， 它 既是 对 NGR) 之 前 帧 的 确认 ， 也 是 准备 接收 NGR) 及 其 后 续 
帧 的 肯定 应 答 。RNR 帧 表示 接收 未 就 绪 ， 在 对 NGR) 之 前 的 帧 给 予 肯定 应 答 的 同时 ， 拒 绝 进 一 
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步 接收 后 续 帧 。REJ 帧 表示 拒绝 接收 NGR) 帧 ， 要 求 重 发 NGR) 帧 及 其 后 续 帧 。 显 然 , REJ 用 于 后 
退 本 帧 ARQ 流 控 方 案 中 。 类 似 地 ，SREJ 帧 用 于 选择 重 发 ARQ 流 控 方案 中 。 

管理 帧 中 P/F 位 的 作用 如 下 所 述 : 主 站 发 送 P 位 置 1 的 RR 帧 询问 从 站 ， 是 否 有 数据 要 发 
送 。 如 果 从 站 有 数据 要 发 送 ， 则 以 信息 帧 响应 ; 否则 从 站 以 下 位置 1 的 RR 帧 响应 ， 表 示 没 有 
数据 可 发 送 。 另 外 ， 主 站 也 可 以 发 送 P 位 置 1 的 RNR 帧 询问 从 站 的 状态 。 如 果 从 站 可 以 接收 
信息 帧 ， 则 以 下 位 置 1 的 RR 帧 响应 ; 反之 ， 如 果 从 站 忙 ， 则 以 上 位 置 1 的 RNR 帧 响应 。 

(3) 无 编号 帧 。 无 编号 帧 用 于 链 路 控制 。 这 类 帧 不 包含 编号 字段 ， 也 不 改变 信息 帧 流动 的 
顺序 。 无 编号 帧 按 其 控制 功能 可 分 为 以 下 几 个 子 类 。 

。 设置 数据 传输 方式 的 命令 和 响应 帧 。 

。 ”传输 信息 的 命令 和 响应 帧 。 

。 ”用 于 链 路 恢复 的 命令 和 响应 帧 。 

。 其 他 命令 和 响应 帧 。 

设置 数据 传输 方式 的 命令 帧 由 主 站 发 送 给 从 站 ， 表 示 设 置 或 改变 数据 传输 方式 。SNRM、 
SARM 和 SABM 分 别 对 应 3 种 数据 传输 方式 。SNRME、SARME 和 SABME 也 是 设置 数据 传 
输 方式 的 命令 帧 ， 然 而 这 3 种 传输 方式 使 用 两 个 字 节 的 控制 域 。 从 站 接收 了 设置 传输 方式 的 命 
令 帧 后 以 无 编号 应 答 帧 (UA) 响应 。 一 种 传输 方式 建立 后 一 直 保 持 有 效 ， 直 到 另外 的 设置 方式 
命令 改变 了 当前 的 传输 方式 。 

主 站 向 从 站 发 送 置 初始 化 方式 命令 (SIM), 使 得 接收 该 命令 的 从 站 启动 一 个 建立 链 路 的 过 
程 。 在 初始 化 方式 下 ， 两 个 站 用 无 编号 信息 帧 〈UD) 交换 数据 和 命令 。 释 放 连 接 命令 (DISC) 
用 于 通知 对 方 链 路 已 经 释放 ， 对 方 站 以 UA 帧 响应 ， 链 路 随 之 断 开 。 

除 UA 帧 之 外 ， 还 有 几 种 响应 帧 与 传输 方式 的 设置 有 关 。 非 连接 方式 帧 (DM) 可 用 于 响 
应 所 有 的 置 传 输 方式 命令 , 表示 响应 的 站 处 于 网 辑 上 断 开 的 状态 , 即 拒绝 建立 指定 的 传输 方式 。 
请 求 初始 化 方式 帧 (RIM) 也 可 用 于 响应 置 传 输 方 式 命令 ， 表 示 响 应 站 没有 准备 好 接收 命令 ， 
或 正在 进行 初始 化 。 请 求 释放 连接 帧 (RD ) 则 表示 响应 站 要 求 断 开 凶 辑 连 接 。 信 息 传输 的 命令 
和 响应 用 于 两 个 站 之 间 交 换 信息 。 无 编号 信息 帧 (UI) 既 可 作为 命令 帧 ， 也 可 作为 响应 帧 。UI 
帧 传送 的 信息 可 以 是 高 层 的 状态 、 操 作 中 断 状态 、 时 间 、 链 路 初始 化 参数 等 。 主 站 /复合 站 可 发 
送 无 编号 询问 命令 (UP) 请 求 接收 站 送 回 无 编号 响应 帧 ， 以 了 解 它 的 状态 。 

链 路 恢复 命令 和 响应 用 于 ARQ 机 制 不 能 正常 工作 的 情况 下 。 接 收 站 可 用 帧 拒绝 响应 
(FRMR) 表示 接收 的 帧 中 有 错误 。 例如， 控制 字段 无 效 、 信 息 字 段 太 长 、 帧 类 型 不 允许 携带 信 
息 以 及 撒 带 的 N(R) 无 效 等 。 

复位 命令 (RSET) 表示 发 送 站 正在 重新 设置 发 送 顺 序号 ， 这 时 接收 站 也 应 该 重新 设置 接 
收 顺 序号 。 
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还 有 两 种 命令 和 响应 不 能 归 入 以 上 几 类 。 交 换 标识 (XID ) 帧 用 于 在 两 个 站 之 间 交 换 它 们 
的 标识 和 特征 ， 实 际 交换 的 信息 依赖 于 具体 的 实现 。 测 试 命令 帧 (TEST) 用 于 测试 链 路 和 接收 
站 是 否 正常 工作 。 接 收 站 收 到 测试 命令 后 要 尽快 以 测试 帧 响应 。 

4. HDLC 的 操作 

下 面 通过 图 3-19 的 例子 说 明 HDLC 的 操作 过 程 ， 这 些 例子 虽然 不 能 襄 括 实际 运作 中 的 所 
有 情况 ， 但 是 可 以 帮助 读者 理解 各 种 命令 和 响应 的 使 用 方法 。 由 于 HDLC 定义 的 命令 和 响应 非 
常 多 ， 可 以 实现 各 种 应 用 环境 的 所 有 要 求 ， 所 以 对 于 任何 一 种 特定 的 应 用 ， 只 要 实现 一 个 子 集 
就 可 以 了 ， 以 下 给 出 的 例子 都 是 实际 应 用 中 的 典型 情况 。 


A B A B A B A B 
SAB| J00 {30 L220 
un]| Be we Me 
av 以 [a | 
uA B21 RE 
| RNR 
| ww | Bs 
132 一 站 37 
天 
Bg DA [| 130 
[| WA A 
A 
| 全 一 | La 
(a) 链 路 的 建立 和 清除  〈b) 双向 数据 交换 (c) 接收 站 忙 (d) 后 退 重 发 (e) 超时 重 发 


图 3-19 HDLC 操作 的 例 


在 图 3-19 中 , 用 工 表示 信息 帧 ,， I 后 面 的 两 个 数字 分 别 表示 信息 帧 中 的 N(S) 和 N(R) 值 。 管 
理 帧 和 无 编号 帧 都 直接 给 出 帧 名 字 ， 管 理 帧 后 的 数字 则 表示 帧 中 的 NGR) 值 ，P 和 下 表示 该 帧 中 
的 PAF 位 置 1， 没 有 P 和 了 表示 这 一 位 置 0。 

图 3-19 (a) 说 明了 链 路 建立 和 释放 的 过 程 。A 站 发 出 SABM 命令 并 启动 定时 器 ， 在 一 定 
的 时 间 内 没有 得 到 应 答 后 重 发 同一 命令 。B 站 以 UA 帧 响应 ， 并 对 本 站 的 局 部 变量 和 计数 器 进 
行 初始 化 。A 站 收 到 应 答 后 也 对 本 站 的 局 部 变量 和 计数 器 进行 初始 化 ， 并 停止 计时 ， 这 时 罗 辑 
链 路 就 建立 起 来 了 。 释 放 链 路 的 过 程 由 双方 交换 一 对 命令 DISC 和 响应 UA 完成 。 在 实际 使 用 
中 可 能 出 现 链 路 不 能 建立 的 情况 ,B 站 以 DM 响应 A 站 的 SABM 命 令 , 或 者 A 站 重复 发 送 SABM 
命令 预定 的 次 数 后 放弃 建立 连接 ， 向 上 层 实体 报告 链接 失败 。 

图 3-19 (b) 说 明了 全 双 工 交换 信息 帧 的 过 程 。 每 个 信息 帧 中 用 N(S) 指 明 发 送 顺序 号 ， 用 
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NGR) 指 明 接收 顺序 号 。 当 一 个 站 连续 发 送 了 若干 帧 而 没有 收 到 对 方 发 来 的 信息 帧 时 ，NGR) 字 段 
只 能 简单 地 重复 , 例如 , A 发 给 B 的 111 和 1I21。 最 后 A 站 没有 信息 帧 要 发 时 用 一 个 管理 帧 RR4 
对 B 站 给 予 应 答 。 图 中 也 表示 出 了 肯定 应 答 的 积累 效应 ， 例 如 A 站 发 出 的 RR4 帧 一 次 应 答 了 
B 站 的 两 个 数据 帧 。 

图 3-19(c) 画 出 了 接收 站 忙 的 情况 。 出 现 这 种 情况 的 原因 可 能 是 接收 站 数据 链 路 层 缓冲 区 
溢出 ， 也 可 能 是 接收 站 上 层 实体 来 不 及 处 理 接收 到 的 数据 。 图 中 A 站 以 RNR4 响应 B 站 的 130 
帧 ， 表 示 A 站 对 第 3 帧 之 前 的 帧 已 正确 接收 ， 但 不 能 继续 接收 下 一 个 帧 。B 站 接收 到 RNR4 后 
每 隔 一 定时 间 以 P 位 置 1 的 RNR 命令 询问 接收 站 的 状态 。 接 收 站 A 如 果 保持 忙 则 以 下 位置 1 
的 RNR 帧 响应 ; 如 果 忙 状态 解除 ， 则 以 下 位 置 1 的 RR 帧 响应 ， 于 是 数据 传送 从 RR 应 答 中 的 
接收 序号 恢复 发 送 。 

图 3-19 (d) 描述 了 使 用 REJ 命令 的 例子 。A 站 发 出 了 第 3、4、5 信息 帧 ， 其 中 第 4 帧 出 
错 。 接 收 站 检 出 错误 帧 后 发 出 REJ4 命令 , 发 送 站 返回 到 出 错 帧 重 发 。 这 是 使 用 后 退 NN 帧 ARQ 
技术 的 典型 情况 。 

图 3-19(e) 表示 的 是 超时 重 发 的 例子 。A 站 发 出 的 第 3 帧 出 错 ，B 站 检测 到 错误 后 丢弃 
了 它 。 但 是 ，B 站 不 能 发 出 REJ 命令 ， 因 为 B 站 无 法 判断 这 是 一 个 I 帧 。A 站 超时 后 发 出 P 位 
置 1 的 RNR 命令 询问 B 站 的 状态 。B 站 以 RR3F 响应 ， 于 是 数据 传送 从 断 点 处 恢复 。 
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X.25 的 分 组 层 提供 虚 电 路 服务 ， 共 有 两 种 形式 的 虚 电 路 : 一 种 是 交换 虚 电路 〈Switched 
Virtual Call，SVC)， 一 种 是 永久 虚 电 路 〈Permanent Virtual Circuit，PVC)。 交 换 虚 电路 是 动态 
建立 的 虚 电 路 ， 包 含 呼叫 建立 、 数 据 传送 和 呼叫 清除 等 几 个 过 程 。 永 久 虚 电 路 是 网 络 指定 的 固 
定 虚 电 路 ， 像 专用 线 一 样 ， 无 须 建立 和 清除 连接 ， 可 直接 传送 数据 。 

无 论 是 交换 虚 电 路 还 是 永久 虚 电 路 ， 都 是 由 几 条 “虚拟 ”连接 共享 一 条 物理 信道 。 一 对 分 
组 交换 机 之 间 至 少 有 一 条 物理 链 路 ， 几 条 虚 电 路 可 以 共享 该 物理 链 路 。 每 一 条 虚 电 路 由 相 邻 节 
点 之 间 的 一 对 缓冲 区 实现 ， 这 些 缓冲 区 被 分 配给 不 同 的 虚 电 路 代号 以 示 区 别 。 建 立 虚 电路 的 过 
程 就 是 在 沿线 各 节点 上 分 配 缓冲 区 和 虚 电 路 代号 的 过 程 。 

图 3-20 是 一 个 简单 的 例子 ， 用 来 说 明 虚 电路 是 如 何 实现 的 。 图 中 有 A、B、C、D、E 和 了 
共 6 个 分 组 交换 机 。 假 定 每 个 交换 机 可 以 支持 4 条 虚 电 路 ， 所 以 需要 4 对 缓冲 区 。 图 3-20 建立 
了 6 条 虚 电 路 ， 其 中 一 条 是 “图 1-BCD-2” 它 从 B 节点 开始 ， 经 过 C 节点 ， 到 达 了 节点 连接 
的 主机 。 根 据 图 上 的 表示 ， 对 于 B 节点 连接 的 主机 来 说 ,给 它 分 配 的 是 1 号 虚 电路 ; 对 于 DD 节 
点 上 的 主机 来 说 ， 它 连接 的 是 2 号 虚 电 路 。 可 见 ， 连 接 在 同一 虚 电 路 上 的 一 对 主机 看 到 的 虚 电 
路 号 不 一 样 。 

图 3-21 为 通过 两 次 握手 建立 和 释放 虚 电 路 连接 的 例子 。 连 网 的 两 个 DTE 通过 交换 Call 
Request、Incoming Call、Call Accepted 和 Call Connected 建立 连接 ， 并 协商 连接 的 参数 。 释 放 
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虚 电 路 则 交换 Clear Request、Clear Indication、Clear Response 和 Clear Confirm 这 4 个 分 组 。 
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图 3-20 虚 电 路 表 的 例子 
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图 3-21 X.25 虚 电路 的 建立 和 释放 


和 25 PLP 层 使 用 的 各 种 分 组 的 格式 大 同 小 异 ， 如 图 3-22 所 示 。 
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QIDloll 组 号 QIDIl1 of 组 号 Q| D| x| x 组 号 
信道 号 信道 号 信道 号 
PCR) | M PCS) | 0 RS 0 分 组 类 型 | 
PCR) M| | 主 呼 方 地 址 长 度 | 被 呼 方 地 址 长 度 
用 让 主 呼 方 地 址 
用 户 数据 - 
被 呼 方 地 址 
(a) 数据 分 组 ，3 位 顺序 号 (b) 数据 分 组 , 7 位 顺序 号 而 特别 业务 长 度 
D| 0| 1 组 号 组 号 
Qolold of ol lol 特别 业务 
信道 号 信道 号 
P 分 组 类 型 | 1 分 组 类 型 
| a ! 少量 用 户 数据 
PCR) M 


(c) 控制 分 组 ，3 位 顺序 号 (d) 控制 分 组 ，7 位 顺序 号 (e) Call Request 分 组 


图 3-22 XX.25 分 组 格式 


PLP 协议 把 用 户 数据 分 成 一 定 大 小 的 块 〈 一 般 为 128 字 节 )， 再 加 24 位 或 32 位 的 分 组 头 
组 成 数据 分 组 。 分 组 头 中 第 3 个 字 节 的 最 低位 用 来 区 分 数据 分 组 和 其 他 的 控制 分 组 。 对 数据 分 
组 ， 这 一 位 为 0， 其 他 分 组 的 这 一 位 为 1。 分 组 头 中 包含 12 位 的 虚 电 路 号 ， 这 12 位 划分 为 组 
号 和 信道 号 。P(R) 和 P(S) 字 段 分 别 表示 接收 和 发 送 顺序 号 ， 用 于 支持 流量 控制 和 差错 控制 ， 这 
两 个 字段 可 以 是 3 位 或 7 位 长 。 在 分 组 头 的 第 一 个 字 节 中 有 两 位 用 来 区 分 两 种 不 同 的 格式 : 3 
位 顺序 号 格式 对 应 01，7 位 顺序 号 格式 对 应 10。Q 位 在 标准 中 没有 定义 ， 可 由 上 层 软件 使 用 ， 
用 来 区 分 不 同 的 数据 。M 位 和 DD 位 用 在 分 组 排序 中 。 

义 .25 的 流 控 和 差错 控制 机 制 与 HDLC 类 似 。 每 个 数据 分 组 都 包含 发 送 顺序 号 PS) 和 接收 
顺序 号 PR)， 默 认 的 顺序 号 为 3 位 ， 但 是 可 以 在 建立 虚 电 路 时 通过 特别 业务 机 制 要 求 使 用 7 位 
顺序 号 。P(S) 字 段 由 发 送 DTE 按 递 增 的 次 序 指定 给 每 个 发 出 的 数据 分 组 ，R(R) 字 段 梢 带 了 DTE 
期 望 从 另 一 端 接收 的 下 一 个 分 组 的 序号 。 如 果 一 端 没 有 数据 分 组 要 发 送 ， 则 可 以 用 RR 接收 
就 绪 ) 或 RNR (接收 未 就 绪 ) 控制 分 组 回 送 应 答 信息 。X.25 默认 的 窗口 大 小 是 2， 但 是 对 于 3 
位 顺序 号 窗口 最 大 可 设置 为 7， 对 于 7 位 顺序 号 窗口 最 大 可 设置 为 127。 这 也 是 在 建立 虚 电 路 
时 通过 协商 决定 的 。 

X.25 的 差错 控制 采用 后 退 N 帧 ARQ 协议 。 如 果 节点 收 到 否定 应 答 REJ， 则 重 传 P(R) 字 段 
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指明 的 分 组 及 其 之 后 的 所 有 分 组 。 
3.3 帧 中 继 网 
帧 中 继 最 初 是 作为 ISDN 的 一 种 承载 业务 而 定义 的 。 按 照 ISDN 的 体系 结构 ， 用 户 与 网 络 


的 接口 分 成 两 个 平面 ， 其 目的 是 把 信 令 和 用 户 数据 分 开 ， 如 图 3-23 所 示 。 控制 平面 在 用 户 和 网 
络 之 间 建 立 和 释放 录 辑 连接 ， 而 用 户 平面 在 两 个 端 系统 之 间 传 送 数据 。 


控制 平面 用 户 平面 用 户 平面 控制 平面 
(D 信道 ) (CD、B 或 卫 信 道 ) (CD、B 或 再 信道) (D 信道 ) 
Q.931/Q.933 Q.931/Q.933 
User-selectable 
TE functions* 
LAPD 
LAPD (Q.921) 
(Q.%21) LAPE core LAPE core 
(Q.922) (Q.922) 
1.430/1.431 1.430/1.431 
用 户 (TE) 网 络 (NT) 


图 3-23 ”用户 与 网 络 接口 协议 的 体系 结构 


帧 中 继 在 第 二 层 建 立 虚 电路 ， 用 帧 方式 承载 数据 业务 ， 因 而 第 三 层 就 被 简化 掉 了 。 同 时 ， 
FR 的 帧 层 也 比 HDLC 操作 简单 ， 只 做 检 错 ， 不 再 重 传 ， 没 有 滑动 窗口 式 的 流 控 ， 只 有 拥塞 
控制 。 


3.3.1 帧 中 继 业 务 


帧 中 继 网 络 提供 虚 电 路 业务 。 虚 电路 是 端 到 端的 连接 ， 不 同 的 数据 链 路 连接 标识 符 (Data 
Link Connection Identifier，DLCI) 代表 不 同 的 虚 电 路 。 在 用 户 一 网 络 接口 (UNI) 上 的 DLCI 
用 于 区 分 用 户 建立 的 不 同 虚 电 路 ， 在 网 络 一 网 络 接口 (NNI) 上 的 DLCI 用 于 区 分 网 络 之 间 的 
不 同 虚 电 路 。DLCI 的 作用 范围 仅 限 于 本 地 的 链 路 段 ， 如 图 3-24 所 示 。 

虚 电路 分 为 永久 虚 电 路 和 交换 虚 电 路 。PVC 是 在 两 个 端 用 户 之 间 建 立 的 固定 逻辑 连接 , 为 
用 户 提供 约定 的 服务 。 帧 中 继 交 换 设备 根据 预先 配置 的 DLCI 表 把 数据 帧 从 一 段 链 路 交换 到 另 
外 一 段 链 路 , 最 终 传送 到 接收 的 用 户 。 SVC 是 使 用 ISDN 信 令 协议 Q.931 临时 建立 的 逻辑 连接 ， 
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它 要 以 呼叫 的 形式 通过 信 令 来 建立 和 释放 。 有 的 帧 中 继 网 络 只 提供 PVC 业务 ， 而 不 提供 SVC 
业务 。 


UNI PVC 段 NNI NE UN 
” ™ | | 
| | 
| 
| 
| 
| 
| 
-| 
| 


[wh | 


| | | 
. | 多 pvc | 
| | 
i i 


图 3-24 用 户 一 网 络 接口 与 网 络 一 网 络 接口 


在 帧 中 继 的 虚 电 路 上 可 以 提供 不 同 的 服务 质量 ， 服 务 质 量 参数 有 下 面 这 些 。 
。 接 入 速率 (AR): 指 DTE 可 以 获得 的 最 大 数据 速率 ， 实 际 上 就 是 用 户 一 网 络 接口 的 物 
。 约定 突 发 量 (Be): 指 在 下 《时 间 间 隔 ) 内 允许 用 户 发 送 的 数据 量 。 
。 超 突 发 量 (Be): 指 在 T. 内 超过 Be 部 分 的 数据 量 ， 对 这 部 分 数据 网 络 将 尽力 传送 。 
。 约定 数据 速率 〈CIR): 指正 常 状态 下 的 数据 速率 ， 取 下 内 的 平均 值 。 
。 扩展 的 数据 速率 (EIR): 指 允 许 用 户 增 加 的 数据 速率 。 
。 约定 速率 测量 时 间 ZT.): 指 测量 B。 和 Be 的 时 间 间 隔 。 
。 ”信息 字段 最 大 长 度 : 指 每 个 帧 中 包含 的 信息 字段 的 最 大 字 节 数 ， 默 认为 1600 字 节 。 
这 些 参数 之 间 有 如 下 关系 : 
Be=T.XCIR 
Be=T.XEIR 
在 用 户 一 网 络 接口 上 对 这 些 参数 进行 管理 。 在 两 个 不 同 的 传输 方向 上 , 这 些 参数 可 以 不 同 ， 
以 适应 两 个 传输 方向 业务 量 不 同 的 应 用 。 网 络 应 该 可 靠 地 保证 用 户 以 等 于 或 低 于 CIR 的 速率 传 
送 数据 。 对 于 超过 CIR 的 Be 部 分 ， 在 正常 情况 下 也 能 可 靠 地 传送 ， 但 是 若 出 现 网 络 拥塞 ， 则 
会 被 优先 丢弃 。 对 于 Be 部 分 的 数据 ， 网 络 将 尽量 传送 ， 但 不 保证 传送 成 功 。 对 于 超过 Be+B。 
的 部 分 ， 网 络 拒绝 接收 ， 如 图 3-25 所 示 。 这 是 在 保证 用 户 正 常 通信 的 前 提 下 防止 网 络 拥塞 的 重 
要 手段 ， 对 各 种 数据 通信 业务 〈 流 式 的 和 突 发 的 ) 有 很 强 的 适应 能 力 。 
在 帧 中 继 网 上 ， 用 户 的 数据 速率 可 以 在 一 定 的 范围 内 变化 ， 从 而 既 可 以 适应 流 式 业务 ， 又 
可 以 适应 突 发 式 业 务 ， 这 使 得 帧 中 继 成 为 远程 传输 的 理想 形式 ， 如 图 3-26 所 示 。 
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帧 2 
CIR 内 | | 标志 DE 


帧 1 


Ei 


用 户 数据 速率 


时 间 


图 3-26 “用户 数 据 速率 的 变化 
3.3.2 ” 帧 中 继 协 议 


与 HDLC 一 样 ， 帧 中 继 采 用 帧 作为 传输 的 基本 单位 。 帧 中 继 协 议 叫 作 LAP-D 〈Q.921)， 
它 比 LAP-B 简单 ， 省 去 了 控制 字段 ， 帧 格式 如 图 3-27 所 示 。 
01111110 地 址 信息 FCS 01111110 


上 一 -一 一 人 -长度 可 赤 一 一 一 一 二 二 一 | 


(a) 帧 格式 
8 el 6 5 4 3 2 1 
DLCI (高 位 ) CR EA=0 
DLCI (低位 ) | FECN | BECN DE EA=1 


(b) 2 字 节 地 址 格式 
图 3-27 帧 中 继 的 帧 格式 
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从 图 3-27 (a) 看 出 , 帧 头 和 帧 尾 都 是 一 个 字 节 的 帧 标志 字段 , 编码 为 01111110, 与 HDLC 
一 样 。 信 息 字 段 长 度 可 变 ，1600 字 节 是 默认 的 最 大 长 度 。 帧 效 验 序列 也 与 HDLC 相同 。 地 址 
字段 的 格式 如 图 3-27 (b) 所 示 。 其 中 各 参数 的 含义 如 下 。 


EA: 地 址 扩展 位 , 该 位 为 0 时 表示 地 址 向 后 扩展 一 个 字 节 , 为 1 时 表示 最 后 一 个 字 节 。 
CR: 命令 /响应 位 ， 协 议 本 身 不 使 用 这 个 位 ， 用 户 可 以 用 这 个 位 区 分 不 同 的 帧 。 
FECN: 向 前 拥塞 位 ， 若 网 络 设备 置 该 位 为 1， 则 表示 在 帧 的 传送 方向 上 出 现 了 拥塞 ， 
该 帧 到 达 接 收 端 后 ， 接 收 方 可 据 此 调整 发 送 方 的 数据 速率 。 

BECN: 向 后 拥塞 位 ， 若 网 络 设备 置 该 位 为 1， 则 表示 在 与 帧 传送 相反 的 方向 上 出 现 了 
拥塞 ， 该 帧 到 达 发 送 端 后 ， 发 送 方 可 据 此 调整 发 送 数据 速率 。 

DE: 优先 丢弃 位 ， 当 网 络 发 生 拥 塞 时 ，DE 为 1 的 帧 被 优先 丢弃 。 

DC: 该 位 仅 在 地 址 字段 为 3 或 4 字 节 时 使 用 。 一 般 情 况 下 DC 为 0， 若 DC 为 1， 则 
表示 最 后 一 个 字 节 的 3 一 8 位 不 再 解释 为 DLCI 的 低位 ， 而 被 数据 链 路 核心 控制 使 用 。 
DLCI: 数据 链 路 连接 标识 符 ， 在 3 种 不 同 的 地 址 格式 中 分 别 是 10、16 和 23 位 。 它 们 
的 取 值 范围 和 用 途 各 不 相同 ， 有 的 虚 电 路 传送 数据 ， 有 的 虚 电 路 传送 信 令 ， 还 有 的 用 
于 强化 链 路 层 管理 。 


关于 FECN 和 BECN 的 用 法 如 图 3-28 所 示 ， 这 个 叫 作 显 式 拥塞 控制 。 另 外 ， 用 户 终端 可 


以 根据 ISDN 上 层 建 立 的 序列 号 检测 帧 丢失 的 概率 ， 
一 旦 帧 的 丢失 超过 一 定 程度 ， 用 户 终端 要 自动 地 降低 
发 送 的 速率 ， 这 个 叫 隐 式 流 控 。 在 这 种 没有 流量 控制 
的 网 络 中 , 对 于 拥塞 的 控制 需要 用 户 和 网 络 共同 完成 。 
强化 链 路 层 管理 (Consolidated Link Layer 
Management，CLLM) 是 另外 一 种 拥塞 控制 的 方法 。 
这 种 CLLM 消息 通过 第 二 层 管理 连接 (DLCI 1007) 
成 批 地 传送 拥塞 信息 ， 其 中 包含 受 拥塞 影响 的 DLCI 


图 3-28 向 前 拥塞 和 向 后 拥塞 


清单 以 及 出 现 拥塞 的 原因 等 。 收 到 CLLM 消息 的 终端 
可 以 采取 相应 的 行动 〈 例 如 减少 发 送 的 数据 量 ) 以 缓解 拥塞 。 
综 上 所 述 ，LAP-D 帧 具有 下 列 作用 。 
(1) 通过 帧 标志 字 节 对 帧 进行 封装 ， 通 过 0 位 插入 技术 做 到 透明 地 传输 。 
(2) 利用 地 址 字段 实现 对 物理 链 路 的 多 路 复 用 。 
(3) 利用 帧 校 验 和 检查 传输 错误 ， 丢 弃 出 错 的 帧 。 
(4) 检查 帧 的 长 度 在 0 位 插入 之 前 或 删除 之 后 是 否 为 整数 个 字 节 ， 丢 弃 长 度 出 错 的 帧 。 
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(5) 检查 太 长 〈 超 过 约定 的 长 度 ) 和 太 短 〈 少 于 1600 字 节 ) 的 帧 并 丢弃 。 
(6) 对 网 络 拥塞 进行 控制 。 


3.3.3” 帧 中 继 的 应 用 


帧 中 继 原 来 是 作为 ISDN 的 承载 业务 而 定义 的 ， 后 来 许多 组 织 看 到 了 这 种 协议 在 广 域 连 网 
中 的 巨大 优势 , 所 以 对 帧 中 继 技 术 进行 了 广泛 的 研究 。 这 里 有 产业 界 成 立 的 帧 中 继 论 坛 (Frame 
Relay Forum)， 也 有 国际 和 地 区 的 标准 化 组 织 ， 都 在 从 事 非 ISTN 的 独立 帧 中 继 标准 的 开发 ( 例 
如 ITU-TX.36)。 这 些 标 准 删除 了 依赖 于 ISDN 的 成 分 ， 提 供 了 通用 的 帧 中 继 连 网 功能 。 同 时 主 
要 的 网 络 设备 制造 商 〈 例 如 CISCO、3COM 等 ) 都 支持 帧 中 继 远 程 网 络 ， 它 们 的 路 由 器 都 提供 
了 FR 接口 。 图 3-29 是 通过 帧 中 继 连接 局 域 网 的 例子 。 


图 3-29 帧 中 继 连 接 局 域 网 


帧 中 继 远程 连 网 的 主要 优点 如 下 。 

(1) 基于 分 组 〈 帧 ) 交换 的 透明 传输 ， 可 提供 面向 连接 的 服务 。 

(2) 帧 长 可 变 ， 长 度 可 达 1600 一 4096 字 节 ， 可 以 承载 各 种 局 域 网 的 数据 帧 。 

(3) 可 以 达到 很 高 的 数据 速率 ，2 一 453Mbps。 

(4) 既 可 以 按 需 要 提供 带宽 ， 也 可 以 应 付 突 发 的 数据 传输 。 

(5) 没有 流 控 和 重 传 机 制 ， 开 销 很 少 。 

帧 中 继 协议 在 第 二 层 实现 , 没有 定义 专门 的 物理 层 接口 , 可 以 用 义 21、V35、G703 或 G704 
接口 协议 。 用 户 在 UNI 接口 上 可 以 连接 976 条 PVC (DLCI-16 一 991)。 在 帧 中 继 之 上 不 仅 可 以 
承载 卫 数据 报 ， 而 且 其 他 的 协议 〈 例 如 LLC、SNAP、IPX、ARP 和 RARP 等 ) 甚至 远程 网 桥 
协议 都 可 以 在 帧 中 继 上 透明 地 传输 。 帧 中 继 论坛 已 经 公布 了 多 种 协议 通过 帧 中 继 传送 的 标准 
(例如 IP over RF)。 
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建立 专用 的 广域网 可 以 租用 专线 , 也 可 以 租用 PVC。 帧 中 继 相 对 于 租用 专线 也 有 许多 优点 ， 
例如 下 面 这 些 。 

(1) 由 于 使 用 了 虚 电 路 ， 所 以 减少 了 用 户 设备 的 端口 数 。 特 别 是 对 于 星 型 拓扑 结构 〈 一 个 
主机 连接 多 个 终端 )， 这 个 优点 很 重要 。 对 于 网 状 拓扑 结构 ， 如 果 有 台 机 器 相连 ， 利 用 帧 中 
继 可 以 提供 MN-1)/2 条 虚拟 连接 ， 而 不 是 NOV-D 个 端口 。 

(2) 提供 备份 线路 成 为 运营 商 的 责任 ， 而 不 需要 端 用 户 处 理 。 备 份 连接 成 为 对 用 户 透明 的 
交换 功能 。 

(3) 采用 CIR+EIR 的 形式 可 以 提供 很 高 的 峰值 速率 ， 同 时 在 正常 情况 下 使 用 较 低 的 CIR， 
可 以 实现 经 济 的 数据 传输 。 

(4) 利用 帧 中 继 可 以 建立 全 国 范围 的 虚拟 专用 网 ， 既 简化 了 路 由 又 增加 了 安全 性 。 

(5) 使 用 帧 中 继 通 过 一 点 连接 到 Intemet， 既 经 济 又 安全 。 

帧 中 继 的 缺点 如 下 。 

(1) 不 适合 对 延迟 敏感 的 应 用 (例如 声音 、 视 频 )。 

(2) 不 保证 可 靠 的 提交 。 

(3) 数据 的 丢失 与 否 依赖 于 运营 商 对 虚 电 路 的 配置 。 


3.4 ISDN 和 ATM 


随 着 技术 的 进步 ， 新 的 通信 业务 不 断 涌现 ， 新 的 通信 网 络 也 应 运 而 生 。 在 今天 的 通信 和 领域 
有 各 种 各 样 的 网 络 ， 如 用 户 电报 网 、 固 定 电话 网 、 移 动 电话 网 、 电 路 交换 数据 网 、 分 组 交换 数 
据 网 、 租 用 线路 网 、 局 域 网 和 城 域 网 等 。 为 了 开发 一 种 通用 的 电信 网 络 ， 实 现 全 方位 的 通信 服 
务 ， 电 信 工 程 师 们 提出 了 综合 业务 数字 网 。 


3.4.1 综合 业务 数字 网 


ISDN 分 为 窄带 ISDN(Narrowband Integrated Service Digital Network,N-ISDN) 和 宽带 ISDN 
(Broadband Integrated Service Digital Network，B-ISDN)。N-ISDN 是 20 世纪 70 年 代 开 发 的 网 
络 技术 ， 开 发 它 的 目的 是 以 数字 系统 代替 模拟 电话 系统 ， 把 音频 、 视 频 和 数据 业务 放 在 一 个 网 
络 上 统一 传输 。 从 用 户 的 角度 看 ，ISDN 的 体系 结构 如 图 3-30 所 示 。 

用 户 通过 本 地 的 接口 设备 访问 N-ISDN 提供 的 数字 管道 digital pipe)， 数 字 管 道 以 固定 的 
位 速率 提供 电路 交换 服务 、 分 组 交换 服务 或 其 他 服务 。 为 了 提供 不 同 的 服务 ，ISDN 需要 复杂 
的 信 令 系统 来 控制 各 种 信息 的 流动 ， 同 时 按照 用 户 使 用 的 实际 速率 进行 收费 ， 这 与 电话 系统 根 
据 连 接 时 间 收 费 是 不 同 的 。 
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电信 部 门 


至 电信 网 络 | 


天 只- 二 旬 道 rr SS 

数字 管道 
I NT 二 上 一 | 
ISDRE 放 SR 交大 5 彼 壹 设 膏 上 吉村 


电信 部门 一 
| “至 电信 网 络 


用 户 电信 设施 


(b) 基 群 速率 接口 
图 3-30 N-ISDN 用 户 接口 


1. ISDN 用 户 接口 


ISDN 系统 主要 提供 两 种 用 户 接口 : 基本 速率 2B+D 和 基 群 速率 30B+D。B 信道 是 64kbps 
的 话音 或 数据 信道 ， 而 D 信道 是 16kbps 或 64kbps 的 信 令 信道 。 对 于 家 庭 用 户 ， 通 信 公 司 在 用 
户 住所 安装 一 个 第 一 类 网 络 终 接 设 备 NT1。 用 户 可 以 在 连接 NT1 的 总 线 上 最 多 挂 接 8 台 设备 共 
享 2B+D 的 144kbps 信道 ， 如 图 3-30 (a) 所 示 。NT1 的 另 一 端 通过 长 达 数 千 米 的 双 绞 线 连接 到 
ISDN 交换 局 。 通 常 家 庭 连 网 使 用 这 种 方式 。 

大 型 商业 用 户 则 要 通过 第 二 类 网 络 终 接 设 备 NT2 连接 ISDN， 如 图 3-30 (b) 所 示 。 这 种 
接 入 方式 可 以 提供 30B+D (接近 2.048Mbps) 的 接口 速率 ， 甚 至 更 高 。 所 谓 NT2， 就 是 一 台 专 
用 小 交换 机 (Private Branch eXchange，PBX)， 它 结合 了 数字 数据 交换 和 模拟 电话 交换 的 功能 
可 以 对 数据 和 话音 混合 传输 ， 与 ISDN 交换 局 的 交换 机 功能 差不多 ， 只 是 规模 小 一 些 。 

用 户 设 备 分 为 两 种 类 型 : 1 型 终端 设备 (TE1) 符合 ISDN 接口 标准 ,可 通过 数字 管道 直接 
连接 ISDN， 例如 数字 电话 、 数 字 传 真 机 等 ; 2 型 终端 设备 〈TE2) 是 非 标准 的 用 户 设备 ， 必 须 
通过 终端 适配器 (TA) 才能 连接 ISDN。 通 常 的 PC 就 是 TE2 设备 ， 需 要 插入 一 个 ISDN 适 配 
卡 才能 接 入 ISDN。 


2.B-ISDN 体系 结构 


窄带 ISDN 的 缺点 是 数据 速率 太 低 ， 不 适合 视频 信息 等 需要 高 带宽 的 应 用 ， 它 仍然 是 一 种 
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基于 电路 交换 网 的 技术 。 20 世纪 80 年 代 , ITU-T 成 立 了 专门 的 研究 组 织 , 开发 宽带 ISDN 技术 ， 
后 来 在 L321 建议 中 提出 了 B-ISDN 体系 结构 和 基于 分 组 交换 的 ATM 技术 ， 如 图 3-31 所 示 。 
B-ISDN 模型 采用 了 与 OSI 参考 模型 同样 的 分 层 概念 ， 同 时 还 以 不 同 的 平面 来 区 分 用 户 信 息 、 
控制 信息 和 管理 信息 。 


平面 管理 
层 管理 
控制 平面 f 用 户 平面 
高 层 高 层 
AITM 适 配 层 
ATM 层 
物理 层 


图 3-31 B-ISDN 参考 模型 


用 户 平 面 提供 与 用 户 数据 传送 有 关 的 流量 控制 和 差错 检测 功能 。 控 制 平面 主要 用 于 连接 和 
信 令 信息 的 管理 。 管 理 平面 支持 网 络 管理 和 维护 功能 。 每 一 个 平面 划分 为 相对 独立 的 协议 层 ， 
共有 4 个 层次 ， 各 层 又 根据 需要 分 为 若干 子 层 ， 其 功能 如 表 3-4 所 示 。 


表 3-4 B-ISDN 各 层 的 功能 


层 次 子 层 与 OSI 的 对 应 
高 导 高 导 
江宁 了 层 为 高 层 数据 提供 统一 接口 
拆 装 子 导 
虚 通 路 和 虚 信 道 的 管理 


ArM 层 信 元 头 的 组 装 和 拆 分 


信 元 的 多 路 复 用 
流量 控制 

信 元 校 蛤 和 速率 控制 
数据 帧 的 组 装 和 拆 分 
位 定时 
物理 网 络 接 入 


传输 汇聚 子 层 


物理 层 
物理 介质 子 层 


B-ISDN 的 关键 技术 是 异步 传输 模式 ,采用 5 类 双 绞 线 或 光纤 传输 ,数据 速率 可 达 155Mbps， 
可 以 传输 无 压缩 的 高 清晰 度 电 视 (HTV)。 这 种 高 速 网 络 有 广泛 的 应 用 领域 和 广阔 的 发 展 前 途 。 
下 面 首先 介绍 ATM 的 基本 概念 。 
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3. 同步 传输 和 异步 传输 


电路 交换 网 络 按照 时 分 多 路 的 原理 将 信息 从 一 个 节点 传送 到 另外 一 个 节点 , 这 种 技术 叫 作 
同步 传输 模式 (Synchronous Transfer Mode，STM)， 即 根据 要 求 的 数据 速率 为 每 一 风 辑 信道 分 
配 一 个 或 几 个 时 槽 。 在 连接 存在 期 间 ， 时 覃 是 固定 分 配 的 ， 当 连接 释放 时 ， 时 模 就 被 分 配给 其 
他 连接 。 例 如 在 Ti 载波 中 ， 每 一 话 路 可 以 在 Ti 帧 中 占用 一 个 时 槽 ， 每 个 时 槽 包含 8 位 ， 如 图 
3-32 所 示 。 


一 站 Cos 一 一 一 一 一 一 一 
22P3p4| 112[314[5[6[?7[s[9liolulizlial4llsltai7hsllezoplp2zps3l24|1]2[3 


图 3-32 同步 传输 模式 的 例子 


异步 传输 模式 (Asynchronous Transfer Mode，ATM) 与 前 一 种 分 配 时 槽 的 方法 不 同 。 它 把 
用 户 数据 组 织 成 53 字 节 长 的 信 元 (cell)， 从 各 种 数据 源 随机 到 达 的 信 元 没有 预定 的 顺序 ， 而 且 
信 元 之 间 可 以 有 间隙 ， 信 元 只 要 准备 好 就 可 以 进入 信道 。 在 没有 数据 时 ， 向 信道 发 送 空 信 元 ， 
或 者 发 送 OAM (Operation And Maintenance) 信 元 ， 如 图 3-33 所 示 。 图 中 的 信 元 排列 是 不 固定 
的 ， 这 就 是 它 的 异步 性 ， 也 叫 作 统计 时 分 复 用 。 所 以 ，ATM 就 是 以 信 元 为 传输 单位 的 统计 时 分 
复 用 技术 。 

每 个 信道 得 到 T, 帧 中 的 一 个 字 节 
2[|1[1[4[?[llnofls[7ls[olz [2 [bn 
每 个 信 元 53 字 节 信 元 在 传输 线 中 没有 固定 的 顺序 


图 3-33 异步 传输 模式 的 例子 


信 元 不 仅 是 传输 的 信息 单位 ， 而 且 也 是 交换 的 信息 单位 。 在 ATM 交换 机 中 ， 根 据 已 经 建 
立 的 迪 辑 连接 ， 把 信 元 从 入 端 链 路 交换 到 出 端 链 路 ， 
如 图 3-34 所 示 。 由 于 信 元 是 53 字 节 的 固定 长 度 ， 所 
以 可 以 高 速 地 进行 处 理 和 交换 ， 这 正 是 ATM 区 别 于 一 一 

ATM 的 典型 数据 速率 为 150Mbps。 通 过 计算 
150M/8/53=360 000， 即 每 秒 钟 每 个 信道 上 有 36 万 个 图 3-34 ATIM 交换 
信 元 来 到 ， 所 以 每 个 信 元 的 处 理 周 期 仅 为 2.7hs。 商 用 ATM 交换 机 可 以 连接 16 一 1024 个 逻辑 
信道 ， 于 是 每 个 周期 中 要 处 理 16 一 1024 个 信 元 。 短 的 、 固 定 长 度 的 信 元 为 使 用 硬件 进行 高 速 
交换 创造 了 条 件 。 

由 于 ATM 是 面向 连接 的 , 所 以 ATM 交换 机 在 高 速 交 换 中 要 尽量 减少 信 元 的 丢失 , 同时 保 


( 信 元 
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证 同一 虚 电路 上 的 信 元 顺序 不 能 改变 。 这 是 ATM 交换 机 设计 中 要 解决 的 关键 问题 。 
3.4.2 ATM 虚 电 路 


ATM 的 网 络 层 以 虚 电 路 提供 面向 连接 的 服务 。 ATM 支持 两 级 连接 , 即 虚 通 路 (Virtual Path) 
和 虚 信 道 (Virtual Channel)。 虚 信道 相当 于 X.25 的 虚 电 路 , 一 组 虚 信 道 捆 绑 在 一 起 形成 虚 通路 ， 
如 图 3-35 所 示 。 这 样 的 两 级 连接 提供 了 更 好 的 调度 性 能 。 


虚 信道 


图 3-35 ”ATM 的 虚 通 路 和 虚 信道 


ATM 虚 电 路 具有 下 列 特点 。 

(1) ATM 是 面向 连接 的 (提供 面向 连接 的 服务 ， 内 部 操作 也 是 面向 连接 的 )， 在 源 和 目标 
之 间 建 立 虚 电路 〈 即 虚 信 道 )。 

(2) ATM 不 提供 应 答 ， 因 为 光纤 通信 是 可 靠 的 ， 只 有 很 少 的 错误 可 以 留 给 高 层 处 理 。 

(3) 由 于 ATM 的 目的 是 实现 实时 通信 (例如 话音 和 视频 ), 所 以 偶然 的 错误 信 元 不 必 重 传 。 

虚 电路 中 传送 的 协议 数据 单元 叫 作 ATM 信 元 。ATM 信 元 包含 5 个 字 节 的 信 元 头 和 48 个 
字 节 的 数据 。 信 元 头 的 结构 如 图 3-36 所 示 。 可 以 看 出 ， 在 UNI 接口 和 NNI 接口 上 的 信 元 是 不 
一 样 的 。 


CLP 


GFC VPI VCI | PTI 川 HEC 
(a) UNI 信 元 
CLP 
VPI VCI PTI 上 HEC 
(Cb) NNI 信 元 
图 3-36 ”ATM 的 信 元 头 结构 


下 面 分 别 介绍 各 个 字段 的 含义 。 

。 ”GFC (General Flow Control): 4 位， 主机 和 网 络 之 间 的 信 元 才 有 这 个 字段 ， 可 用 于 主 
机 和 网 络 之 间 的 流 控 或 优先 级 控制 ， 经 过 第 一 个 交换 机 时 被 重 写 为 VPI 的 一 部 分 。 这 
个 字段 不 会 传送 到 目标 主机 。 


司 ss 层 
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。 VPI ( 虚 通 路 标识 符 ): 有 8 位 (UND 或 12 位 (NNI) 之 分 。 

。 VCI ( 虚 信 道 标 识 符 ): 16 位 ， 理 论 上 每 个 主机 都 有 256 个 虚 通 路 ， 每 个 虚 通路 包含 
65 536 个 虚 信 道 。 实 际 上 ， 部 分 虚 信 道 用 于 控制 功能 (例如 建立 虚 电 路 )， 并 不 传送 用 
户 数据 。 

。 PTI (Payload Type): 负载 类 型 (3 位 )， 表 3-5 说 明了 这 3 位 的 含义 ， 其 中 的 0 型 或 1 
型 信 元 是 用 户 提供 的 ， 用 于 区 分 不 同 的 用 户 信息 ， 而 拥塞 信息 是 网 络 提供 的 。 


表 3-5 负载 类 型 
PTI 值 含义 含义 
000 = 数据， 无 拥塞 ，0 型 信 元 相 邻 交换 机 之 间 的 维护 信息 
001 > 数据， 无 拥塞 ，! 型 信 元 源 和 目标 交换 机 之 间 的 维护 信息 
010 数据， 有 拥塞 ，0 型 信 元 源 管理 信 元 
011 数据， 有 拥塞 ，! 型 信 元 保留 


。 ”CLP (Cell Loss Priority): 这 一 位 用 于 区 分 信息 的 优先 级 ， 如 果 出 现 拥塞 ， 交 换 机 优先 
丢弃 CLP 被 设置 为 1 的 信 元 。 

。 HEC (Header Ermror Check): 8 位 的 头 校 验 和 ， 将 信 元 位 形成 的 多 项 式 乘 以 28， 然 后 除 
以 xs+Hxr?Hx+l， 就 形成 了 8 位 的 CRC 校 验 和 。 


3.4.3 ATM 高 层 


这 是 与 业务 相关 的 高 层 。ATM 4.0 规定 的 用 户 业 务 分 为 4 类 ， 如 表 3-6 所 示 。 
表 3-6 高层 协议 


半 | 并 ,| 寺 | 志 


拥塞 反馈 


这 4 类 业务 介绍 如 下 。 

(1) CBR (Constant Bit Rate)。 固 定 比特 率 业务 ， 用 于 模拟 铜 线 和 光纤 信道 ， 没 有 错误 检 
查 ， 没 有 流 控 ， 也 没有 其 他 处 理 。 这 种 业务 使 得 当前 的 电话 系统 可 以 平滑 地 转换 到 B-ISDN， 
也 适合 于 交互 式 话音 和 视频 流 。 

(2) VBR (Variable BitRate)。 可 变 比特 率 业务 ， 又 分 为 以 下 两 类 。 
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。 实时 性 : 例如 交互 式 压缩 视频 信号 (MPEG) 就 属于 这 一 类 业务 ， 其 特点 是 传输 速率 
变化 很 大 ， 但 是 信 元 的 到 达 模 式 不 应 有 任何 抖动 ， 即 对 信 元 的 延迟 和 延迟 变化 要 加 强 
控制 。 
。 ” 非 实时 性 ， 这 一 类 通信 要 求 按时 提交 ， 但 一 定 程度 的 抖动 是 允许 的 ， 例 如 多 媒体 电子 
邮件 就 属于 这 一 类 业务 。 由 于 多 媒体 电子 邮件 在 显示 之 前 已 经 存 入 了 接收 者 的 磁盘 ， 
所 以 信 元 的 延迟 抖动 在 显示 之 前 已 经 被 排除 了 。 
(3) ABR (Available Bit Rate)。 有 效 比特 率 业 务 ， 用 于 突 发 式 通 信 。 如 果 一 个 公司 通过 租 
用 线路 连接 它 的 各 个 办 公 室 ， 就 可 以 使 用 这 一 类 业务 。 公 司 可 以 选择 足够 的 线路 容量 来 处 理 峰 
值 负载 , 但 是 经 常会 有 大 量 的 线路 容量 空闲 ; 或 者 公司 选择 的 线路 容量 只 能 够 处 理 最 小 的 负载 ， 
在 负载 大 时 会 经 受 拥塞 的 困扰 。 例 如 ， 平 时 线路 保证 5Mbps， 峰 值 时 可 能 会 达到 10Mbps。 

(4) UBR (Unspecified Bit Rate)。 不 定 比特 率 通 信 ， 可 用 于 传送 也 分 组 .因为 下 协议 不 
保证 提交 ， 如 果 发 生 拥 塞 ， 信 元 可 以 被 丢弃 。 文 件 传输 、 电 子 邮件 和 USENET 新 闻 是 这 类 业务 
潜在 的 应 用 领域 。 


3.4.4 ATM 适 配 层 


ATM 适 配 层 (CATM Adaptation Layer) 负责 处 理 高 层 来 的 信息 ， 发 送 方 把 高 层 来 的 数据 分 
割 成 48 字 节 长 的 ATM 负载 ， 接 收 方 把 ATM 信 元 的 有 效 负载 重新 组 装 成 用 户 数据 包 。AIM 适 
配 层 分 为 以 下 两 个 子 层 。 

。 CS (Convergence) 子 层 : 提供 标准 的 接口 。 

。 SAR (Segmentation and Reassembly) 子 层 : 对 数据 进行 分 段 和 重 装 配 。 

这 两 个 子 层 与 相 邻 层 的 关系 如 图 3-37 所 示 。 


应 用 层 数据 
CS 子 层 的 输出 cS cs | 
a 
SAR 子 层 输出 [SAR| CS SAR| [SAR| SAR SAR Cs [SAR| 


| 


ATM 层 输出 [ArM [SAR] CS SAR| [ATMISAR SAR| [ATMISAR| CS [SAR| 
48 字 节 


53 字 节 


图 3-37 AAL 层 与 相 邻 层 的 关系 


司 " 层 
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AAL 又 分 为 4 种 类 型 ， 对 应 于 A、B、C、D 4 种 业务 (如 表 3-7 所 示 )， 这 4 种 业务 是 定 
义 AAL 层 时 的 目标 业务 。 


表 3-7 高 层 协 议 


端 到 端 定时 
比特 率 | 恒定 | 可 变 


连接 模式 面向 连接 无 连接 


。 ”AAL1: 对 应 于 A 类 业务 。CS 子 层 检测 丢失 和 误 插 入 的 信 元 ， 平 滑 进来 的 数据 ， 提 供 
固定 速率 的 输出 ， 并 且 进 行 分 段 。SAR 子 层 加 上 信 元 顺序 号 和 及 其 检查 和 ， 以 及 奇偶 


。 AAL2: 对 应 于 B 类 业务 ， 用 于 传输 面向 连接 的 实时 数据 流 。 无 错误 检测 ， 只 检查 
顺序 。 


。 AAL3/4: 对 应 于 C/D 类 业务 ， 原 来 ITU-T 有 两 个 不 同 的 协议 分 别 用 于 C 类 和 DD 类 业 
务 ， 后 来 合并 为 一 个 协议 。 该 协议 用 于 面向 连接 的 和 无 连接 的 服务 ， 对 信 元 错误 和 丢 
失 敏 感 ， 但 是 与 时 间 无 关 。 

。 AAL5: 对 应 于 C/D 类 业务 ， 这 是 计算 机 行业 提出 的 协议 。 与 AAL3/4 不 同 之 处 是 在 
CS 子 层 加 长 了 检查 和 字段 , 减少 了 SAR 子 层 ， 只 有 分 段 和 重组 功能 ， 因 而 效率 更 高 。 
图 3-38 表示 AAL5 的 两 个 子 层 的 功能 ， 其 中 的 PAD 为 填充 字段 ,使 其 成 为 48 字 节 的 
整数 倍 ; UU 字段 供 高 层 用 户 使 用 ， 例 如 作为 顺序 号 或 多 路 复 用 ，AAL 层 不 用 ; Len 
字段 代表 有 效 负 载 的 长 度 ，CRC 字段 为 32 位 校 验 和 ， 对 高 层 数 据 提供 保护 。AAL5 
多 用 在 局 域 风 中， 实现 ATM 局 域 网 仿真 LANE)。 


CS 于 屋 | 有 效 负载 (1~65 535 守节 ) [PAD 


De 


2 4 
rm | crc | 


sn 


48 
图 3-38 AALS5 的 两 个 子 层 


3.4.5_ATM 通信 管理 


AIM 网 络 是 一 种 高 速 网 络 ，ATM 通信 和 莉 盖 了 实时 的 和 非 实 时 的 、 高 速 的 和 低速 的 (从 每 
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秒 数 千 位 到 数 百 兆 位 )、 固 定 比 特 率 和 可 变 比特 率 等 多 种 模式 ， 因 而 对 拥塞 控制 提出 了 很 高 的 
要 求 。 然 而 ， 在 ATM 信 元 中 可 用 于 通信 控制 的 开销 位 非常 有 限 ， 所 以 对 信 元 流 的 控制 必须 由 
另外 的 机 制 来 实施 。ITU-T 基于 简化 控制 机 制 和 提高 传输 效率 的 目的 定义 了 基本 的 通信 管理 功 
能 (L371 建议 )， 同 时 ATM 论坛 又 提出 了 更 高 级 的 通信 和 拥塞 控制 机 制 〈Traffc Management 
Specification 4.0)， 所 有 这 些 控制 功能 的 主要 目标 都 是 避免 或 者 减 小 网 络 拥塞 ， 保 证 ATM 网 络 
的 服务 质量 QoS)。 这 一 节 讨论 ATM 网 络 的 通信 管理 和 拥塞 控制 机 制 。 


1， 连 接 准 入 控制 


连接 准 入 控制 是 防止 网 络 因 超 载 而 出 现 拥塞 的 第 一 道 防线 。 用 户 在 请 求 建立 一 个 VPC 或 
VCC 时 ， 必 须 说 明 通信 流 的 特征 ， 从 网 络 提供 的 各 种 QoS 参数 类 中 选择 适合 自己 需求 的 类 别 。 
当 且 仅 当 网 络 在 维护 已 有 的 连接 正常 运行 的 前 提 下 能 够 满足 用 户 的 需求 时 才 接受 新 的 连接 请 
求 ， 这 时 网 络 与 用 户 之 间 就 建立 了 一 个 通信 合约 ， 只 要 用 户 在 通信 过 程 中 遵守 合约 ， 就 应 该 得 
到 需要 的 服务 质量 。 通 信 合 约 可 以 用 以 下 4 个 参数 表示 。 
。 峰值 信 元 速率 ; 提供 给 ATM 连接 的 最 大 通信 速率 。 
。 ” 信 元 时 延 变化 : 在 测量 点 上 观察 到 的 信 元 到 达 模 式 相对 于 峰值 速率 变化 的 上 限 。 
。 可 持续 信 元 速率 : 在 ATM 连接 持续 时 间 可 获得 的 平均 速率 的 上 限 。 
。 突 发 容 限 : 在 测量 点 上 观察 到 的 信 元 到 达 模 式 相对 于 可 持续 信 元 速率 变化 的 上 限 。 
前 两 个 参数 适用 于 CBR 和 VBR 通信 ， 后 两 个 参数 仅 适 用 于 VBR 通信 。 虽 然 CBR 通信 源 
是 以 固定 的 峰值 速率 生成 信 元 ， 但 是 由 于 种 种 原因 《〈 例 如， 不 同 速率 的 多 个 通信 流 复 用 AITM 
信道 而 引起 的 排队 延迟 ， 插 入 OAM 信 元 引起 的 时 延 ， 物 理 层 插 入 控制 位 引起 的 滞后 效应 等 ) 
会 引起 信 元 到 达 时 间 出 现 偏差 ， 信 元 堆积 时 意味 着 峰值 速率 增加 ， 信 元 之 间 出 现 间隙 则 意味 着 
峰值 速率 减少 。 在 网 络 为 一 个 连接 分 配 资源 时 不 仅 要 考虑 其 峰值 速率 ， 而 且 要 考虑 以 上 因素 引 
起 的 信 元 速率 变化 。 特 别 是 对 于 VBR 通信 ， 还 要 考虑 可 持续 信 元 速率 和 突 发 容 限 ， 这 样 才能 
更 有 效 地 使 用 网 络 资源 。 例 如 ， 如 果 多 个 VCC 统计 时 分 多 路 复 用 一 个 VPC， 若 根据 峰值 速率 
和 平均 速率 综合 考虑 ， 则 为 VPC 分 配 的 缓冲 区 才能 得 到 有 效 的 利用 ， 同 时 还 不 会 丢失 信 元 。 用 
户 和 网 络 之 间 可 以 用 不 同 的 方式 建立 通信 合约 。 
。 隐 含 说 明 通信 参数 。 可 以 由 网 络 操作 员 规定 一 个 参数 值 的 集合 ， 用 户 从 默认 的 集合 中 
选择 符合 自己 需要 的 参数 值 ， 所 有 的 或 同类 型 的 连接 被 赋予 同样 的 参数 值 ， 提 供 同 样 
的 服务 质量 。 

。 显 式 说 明 通信 参数 。 用 户 提出 连接 请 求 时 说 明 需 要 的 通信 参数 ， 网 络 操作 员 为 特定 的 
用 户 提供 特定 的 参数 值 。 对 于 固定 虚 电 路 ， 在 连接 建立 时 通过 网 络 管理 系统 设 定 所 有 
的 通信 参数 ， 对 于 交换 虚 电 路 ， 用 户 与 网 络 通过 ATM 信 令 来 协商 连接 的 通信 参数 。 


下 92 若 。 网 光 工程 师 教程 (第 5 版) 


2. 使 用 参数 控制 


连接 一 旦 建立 ， 网 络 必须 监控 用 户 是 否 遵守 通信 合约 ， 避 免 由 于 用 户 滥用 资源 而 引起 网 络 
拥塞 。 使 用 参数 控制 可 以 在 VPC 和 VCC 两 级 实施 , 但 主要 还 是 监控 VPC 的 使 用 参数 ,因为 网 
络 资源 毕竟 是 在 VPC 基础 上 分 配 的 ， 包 含 其 中 的 所 有 VCC 共享 分 配给 VPC 的 资源 。 

对 于 信 元 峰值 速率 〈(R) 和 信 元 时 延 变化 的 监控 适用 下 面 的 算法 。 如 果 没 有 时 延 变 化 ， 则 
信 元 到 达 的 间隔 时 间 T=1R;， 如 果 出 现时 延 变化 ，7 值 就 不 固定 了 。 网 络 监控 所 有 的 信 元 到 达 
时 间 ， 对 于 Ts 的 信 元 ， 网 络 放行 ， 对 于 7>r 的 信 元 ， 可 置 其 CLP=1， 在 后 续 的 监控 点 如 果 
出 现 拥塞， 则 会 被 优先 丢弃 ， 这 里 + 是 网 络 规定 的 时 延 变 化 容 限 。 对 于 可 持续 信 元 速率 和 突 发 
容 限 ， 可 以 用 类 似 的 算法 进行 监控 。 


3. 通信 和 量 整 形 
通信 量 整 形 用 于 平滑 通信 流 ， 减 少 信 元 的 堆积 ， 公 平地 分 配 资源 ， 缩 小 平均 延迟 时 间 。 有 


一 种 令 牌 桶 算法 如 图 3-39 所 示 , 这 种 算法 不 是 监视 和 丢弃 违反 通信 合约 的 信 元 , 而 是 规范 信 元 
的 行为 ， 使 其 符合 通信 合约 的 规定 。 


Wm 


容量 


用 户 产生 的 信 元 进入 ATM 信 道 
服务 器 


图 3-39 令 牌 桶 算法 


在 图 3-39 中 , 令 牌 产生 器 每 秒 钟 生产 p 个 令 牌 , 并 把 它们 放 入 容量 为 8 的 令 牌 桶 中 ， 如果 
令 牌 桶 放 满 了 ， 多 余 的 令 牌 将 被 丢弃 。 用 户 发 出 的 信 元 经 过 服务 器 转发 进入 ATM 信道 。 服 务 
器 的 服务 规则 是 每 传送 一 个 信 元 必须 从 令 牌 桶 中 取出 并 消耗 掉 一 个 令 牌 ， 如 果 令 牌 能 充分 供 
应 ， 则 服务 器 可 以 连续 转发 ; 如 果 令 牌 供应 不 及 时 ， 服 务 器 就 暂停 转发 ， 并 等 待 获取 新 的 令 牌 。 
按照 这 个 算法 ， 信 元 离开 服务 器 进入 ATM 信道 的 平均 速率 不 能 大 于 令 牌 产生 的 速率 〈p)， 但 
是 可 以 有 一 定 的 突 发 性 ， 在 短 时 间 内 消耗 掉 令 牌 桶 中 积压 的 所 有 令 牌 。 
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传统 局 域 网 (Local Area Networks，LAN) 是 分 组 广播 式 网 络 ， 这 是 与 分 组 交换 式 的 广 域 
网 的 主要 区 别 。 在 广播 网 络 中 ， 所 有 工作 站 都 连接 到 共享 的 传输 介质 上 ， 共 享 信道 的 分 配 技术 
是 局 域 网 的 核心 技术 ， 而 这 一 技术 又 与 网 络 的 拓扑 结构 和 传输 介质 有 关 。 地 理 范 围 介 于 局 域 网 
与 广域网 之 间 的 是 城 域 网 (Metropolitan Area Networks，MAN), 城 域 网 采用 的 技术 与 局 域 网 类 
似 ， 两 种 网 络 协议 都 包含 在 IEEE LAN/MAN 委员 会 制定 的 标准 中 。 本 章 介绍 几 种 常见 的 局 域 
网 和 城 域 网 的 有 关 国 际 标准 ， 以 及 工作 原理 和 性 能 分 析 方 法 。 


4.1 ”局域网 技术 概论 


拓扑 结构 和 传输 介质 决定 了 各 种 LAN 的 特点 ， 决 定 了 它们 的 数据 速率 和 通信 效率 ， 也 决定 
了 适合 于 传输 的 数据 类 型 ， 甚 至 决定 了 网 络 的 应 用 领域 。 首 先 概述 各 种 局 域 网 使 用 的 拓扑 结构 和 
传输 介质 ， 同 时 介绍 两 种 不 同 的 数据 传输 系统 ， 最 后 引导 出 根据 以 上 特点 制定 的 IEEE 802 标准 。 


4.1.1 拓扑 结构 和 传输 介质 


1 总线 型 拓扑 


总 线 (如 图 4-1 (a) 所 示 ) 是 一 种 多 点 广播 介质 ， 所 有 的 站 点 都 通过 接口 硬件 连接 到 总 线 
上 。 工 作 站 发 出 的 数据 组 织 成 帧 ， 数 据 帧 沿 着 总 线 向 两 端 传播 ， 到 达 末 端的 信号 被 终端 匹配 器 
吸收 。 数 据 帧 中 含有 源 地址 和 目标 地 址 ， 每 个 工作 站 都 监视 总 线 上 的 信号 ， 并 复制 发 给 自己 的 
数据 帧 。 由 于 总 线 是 共享 介质 ， 多 个 站 点 同时 发 送 数据 时 会 发 生 冲 突 ， 因 而 需要 一 种 分 解 冲突 
的 介质 访问 控制 协议 。 传 统 的 轮 询 方式 不 适合 分 布 式 控制 ， 总 线 网 的 研究 者 开发 了 一 种 分 布 式 
竞争 发 送 的 访问 控制 方法 ， 本 章 将 介绍 这 种 协议 。 

适用 于 总 线 型 拓扑 的 传输 介质 主要 是 同 轴 电 缆 ， 分 为 基带 同 轴 电 缆 和 宽带 同 轴 电 缆 ， 这 两 
种 传输 介质 的 比较 如 表 4-1 所 示 。 


表 4-1 总 线 网 的 传输 介质 


数据 速率 /Mbps 
10，50〔 限 制 距离 和 节点 数 ) 
500 个 信道 ， 每 个 信道 20 


传输 介质 
基带 同 轴 电 线 
宽带 同 轴 电 缆 
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(a) 总 线 型 


0 
i 
(ce) 星 型 (d) 树 型 

图 4-1 局 域 网 的 拓扑 结构 


对 于 总 线 这 种 多 点 介质 ， 必 须 考虑 信号 平衡 问题 。 任 意 一 对 设备 之 间 传 输 的 信号 强度 必须 
调整 到 一 定 的 范围 :一 方面 ， 发 送 器 发 出 的 信号 不 能 太 大 ， 否 则 会 产生 有 和 害 的 谐 波 ， 使 得 接收 
电路 无 法 工作 ;， 另 一 方面 ， 经 过 一 定 距 离 的 传播 衰减 后 ， 到 达 接 收 端 的 信号 必须 足够 大 ， 能 驱 
动 接收 器 电路 , 还 要 有 一 定 的 信 噪 比 。 如 果 总 线 上 的 任何 一 个 设备 都 可 以 向 其 他 设备 发 送 数据 ， 
对 于 一 个 不 太 大 的 网 络 ， 壁 如 200 个 站 点 ， 则 设备 配对 数 是 39 800。 因 此 ， 要 同时 考虑 这 么 多 
对 设备 之 间 的 信号 平衡 问题 ， 从 而 设计 出 适用 的 发 送 器 和 接收 器 是 不 可 能 的 。 在 制定 网 络 标准 
时 ， 考 虑 到 这 一 问题 的 复杂 性 ， 所 以 把 总 线 划分 成 一 定 长 度 的 网 段 ， 并 限制 每 个 网 段 接 入 的 站 
点 数 。 

同 轴 电 线 分 为 传播 数字 信号 的 基带 同 轴 电 缆 和 传播 模拟 信号 的 宽带 同 轴 电 缆 。 宽 带电 缆 比 
基带 电缆 传输 的 距离 更 远 ， 还 可 以 使 用 频 分 多 路 技术 提供 多 个 信道 和 多 种 数据 传输 业务 ， 主 要 
用 在 城 域 网 中 ， 而 基带 系统 则 主要 用 于 室内 或 建筑 物 内 部 连 网 。 

1) 基带 系统 

数字 信号 是 一 种 电压 脉冲 ， 它 从 发 送 处 沿 着 基带 电费 向 两 端 均 匀 传 播 ， 这 种 情况 就 像 光 波 
在 (物理 学 家 们 杜撰 的 ) 以 太 介质 中 各 向 同性 地 均匀 传播 一 样 ， 所 以 总 线 网 的 发 明 者 把 这 种 网 
络 称 为 以 太 网 。 以 太 网 使 用 特性 阻抗 为 509 的 同 轴 电 缆 ， 这 种 电缆 具有 较 小 的 低频 电 噪声 ， 在 
接头 处 产生 的 反射 也 较 小 。 

一 般 来 说 ， 传 输 系统 的 数据 速率 与 电缆 长 度 、 接 头 数量 以 及 发 送 和 接收 电路 的 电气 特性 有 
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关 。 当 脉冲 信号 沿 电缆 传播 时 ， 会 发 生 衰减 和 畸变 ， 还 会 受到 噪音 和 其 他 不 利 因素 的 影响 。 传 
播 距离 越 长 ， 这 种 影响 越 大 ， 增 加 了 出 错 的 机 会 。 如 果 数 据 速率 较 小 ， 脉 冲 宽度 就 比较 宽 ， 比 
高 速 的 窄 脉冲 更 容易 恢复 ,因而 抗 噪声 特性 更 好 。 基带 系统 的 设计 需要 在 数据 速率 、 传 播 距离 、 
站 点 数量 之 间 进 行 权衡 。 一 般 来 说 ， 数 据 速率 越 小 ， 传 输 的 距离 越 远 ， 传 输 系统 (收发 器 和 
电缆 ) 的 电气 特性 越 好 ， 可 连接 的 站 点 数 就 越 多 。 表 4-2 列 出 了 IEEE 802.3 标准 中 对 两 种 基带 
电缆 的 规定 。 这 两 种 系统 的 数据 速率 都 是 10Mbps， 但 传输 距离 和 可 连接 的 站 点 数 不 同 ， 这 是 因为 
直径 为 0.4 英寸 的 电缆 比 直径 为 0.25 英寸 的 电费 性 能 更 好 ， 当 然 价格 也 较 晶 贵 。 


表 4-2 IEEE 802.3 中 两 种 基带 电缆 的 规定 


参数 10Base 2 
电费 直径 0.25in (RG-58) 
数据 速率 10Mbps 
最 大 段 长 185m 
传播 距离 1 000m 
每 段 节点 数 | 1 | » 
节点 距离 Osm 


若 要 扩展 网 络 的 长 度 ， 可 以 用 中 继 器 把 多 个 网 络 段 连接 起 来 ， 如 图 4-2 所 示 。 中 继 器 可 以 
接收 一 个 网 段 上 的 信号 ， 经 再 生 后 发 送 到 另 一 个 网 段 上 去 。 然 而 由 于 网 络 的 定时 特性 ， 不 能 无 
限制 地 使 用 中 继 器 , 表 4-2 中 的 两 个 标准 都 限制 中 继 器 的 数目 为 4 个 , 即 最 大 网 络 由 5 段 组 成 。 

2) 宽带 系统 

宽带 系统 是 指 采用 频 分 多 路 技术 传播 模拟 信号 的 系 
统 。 不 同 频率 的 信道 可 分 别 支 持 数据 通信 、TV 和 CD 质量 
的 音频 信号 。 模 拟 信号 比 数字 脉冲 受 噪声 和 衰减 的 影响 更 站 
小 ， 可 以 传播 更 远 的 距离 ， 甚 至 达到 100km。 

宽带 系统 使 用 特性 阻抗 为 75Q 的 CATV 电缆 。 根 据 系 
统 中 数 / 模 转 换 设备 采用 的 调制 技术 的 不 同 ，1lbps 的 数据 速 
率 可 能 需要 1 一 4Hz 的 带宽 , 而 支持 150Mbps 的 数据 速率 可 
能 需要 300MHz 的 带宽 。 

由 于 宽带 系统 中 需要 模拟 放大 器 ， 而 这 种 放大 器 只 能 单方 向 工作 ， 所 以 加 在 宽带 电缆 上 的 
信号 只 能 单方 向 传播 ， 这 种 方向 性 决定 了 在 同一 条 电缆 上 只 能 由 “上 游 站 ”发 送 ， 而 “下 游 站 ?” 
接收 ,相反 方向 的 通信 和 则 必须 采用 特殊 的 技术 。 有 两 种 技术 可 提供 双向 传输 : 一 种 是 双 缆 配 置 ， 
即 用 两 根 电缆 分 别提 供 两 个 方向 不 同 的 通路 (如 图 4-3 〈a) 所 示 ); 另 一 种 是 分 裂 配置 ， 即 把 
单 根 电缆 的 频带 分 裂 为 两 个 频率 不 同 的 子 通 道 ， 分 别传 输 两 个 方向 相反 的 信号 (如 图 4-3 (b) 


图 4-2 由 中 继 器 互 连 的 网 络 
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所 示 )。 双 线 配置 可 提供 双 倍 的 带宽 ， 而 分 裂 配 置 比 双 缆 配置 可 节约 大 约 15% 的 费用 。 


天 
® 人 
i 品 [el 有 尖端 关 
(a) 双 缆 配置 (b) 分 裂 配置 


图 4-3 宽带 系统 的 两 种 配置 


两 种 电路 配置 都 需要 “ 端 头 ”来 连接 两 个 方向 不 同 的 通路 。 双 线 配置 中 的 端 头 是 无 源 端 头 ， 
朝向 端 头 的 通路 称 为 “入 径 ”， 离 开端 头 的 通路 称 为 “出 径 ”。 所 有 的 站 向 入 径 上 发 送信 号 ， 经 
端 头 转 接 后 发 向 出 径 ， 各 个 站 从 出 径 上 接收 数据 。 入 径 和 出 径 上 的 信号 使 用 相同 的 频率 。 

在 分 裂 配 置 中 使 用 有 源 端 头 ， 也 叫 频 率 变 换 端 头 。 所 有 的 站 以 频率 有 向 端 头 发 送 数 据 ， 经 
端 头 转换 后 以 频率 方向 总 线 上 广播 ， 目 标 站 以 太 接 收 数据 。 


2. 环 型 拓扑 


环 型 拓扑 由 一 系列 首尾 相 接 的 中 继 器 组 成 ， 每 个 中 继 器 连接 一 个 工作 站 (如 图 4-1 (b) 所 
示 )。 中 继 器 是 一 种 简单 的 设备 ， 它 能 从 一 端 接收 数据 ， 然 后 在 另 一 端 发 出 数据 。 整 个 环 路 是 
单 向 传输 的 。 

工作 站 发 出 的 数据 组 织 成 帧 。 在 数据 帧 的 帧 头 部 分 含有 源 地 址 和 目的 地 址 字段 ， 以 及 其 他 
控制 信息 。 数 据 帧 在 环 上 循环 传播 时 被 目标 站 复制 ， 返 回 发 送 站 后 被 回收 。 由 于 多 个 站 共享 环 
上 的 传输 介质 ， 所 以 需要 某 种 访问 逻辑 来 控制 各 个 站 的 发 送 顺 序 。 例 如 ， 用 一 种 特殊 的 控制 
帧 一 一 令 牌 来 代表 发 送 的 权利 ， 令 牌 在 网 上 循环 流动 ， 谁 得 到 令 牌 就 可 以 发 送 数据 帧 。 

由 于 环 网 是 一 系列 点 对 点 链 路 串 接 起 来 的 ， 所 以 可 使 用 任何 传输 介质 。 最 常用 的 介质 是 双 
绞 线 ， 因 为 它们 价格 较 低 。 使 用 同 轴 电 缆 可 得 到 较 高 的 带宽 ， 而 光纤 则 能 提供 更 大 的 数据 速率 。 
表 4-3 中 列 出 了 常用 的 几 种 传播 介质 的 有 关 参 数 。 


表 4-3 环 网 的 传输 介质 


传输 介质 数据 速率 /Mbps 中 继 器 之 间 的 距离 /km 中 继 器 个 数 
无 屏蔽 双 绞 线 4 0.1 和 2 
屏蔽 双 绞 线 16 03 250 


基带 同 轴 电 缆 16 1.0 250 
光纤 100 2.0 240 
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3. 星 型 拓扑 


星 型 拓扑 中 有 一 个 中 心 节点 ， 所 有 站 点 都 连接 到 中 心 节点 上 。 电 话 系统 就 采用 了 这 种 拓扑 

结构 ， 多 终端 联机 通信 系统 也 是 星 型 结构 的 例子 。 中 心 节点 在 星 型 网 络 中 起 到 了 控制 和 交换 的 
作用 ， 是 网 络 中 的 关键 设备 。 星 型 拓扑 的 网 络 布局 如 图 4-1 (c) 所 示 。 
用 星 型 拓扑 结构 也 可 以 构成 分 组 广播 式 的 局 域 网 。 在 这 种 网 络 中 ， 每 个 站 都 用 两 对 专线 连 
接 到 中 心 节 点 上 ， 一 对 用 于 发 送 ， 一 对 用 于 接收 。 中 心 节点 叫 作 集线器 (Hub)。Hub 接收 工作 
站 发 来 的 数据 帧 ， 然 后 向 所 有 的 输出 链 路 广播 出 去 。 当 有 多 个 站 同时 向 Hub 发 送 数据 时 就 会 产 
生 冲 突 ， 这 种 情况 和 总 线 拓扑 中 的 竞争 发 送 一 样 ， 因 而 总 线 网 的 介质 访问 控制 方法 也 适用 于 星 
型 网 。 

Hub 有 两 种 形式 , 一 种 是 有 源 Hub, 另 一 种 是 无 源 Hub。 有 源 Hub 中 配置 了 信号 再 生 风 辑 ， 
这 种 电路 可 以 接收 输入 链 路 上 的 信号 ， 经 再 生 后 向 所 有 输出 链 路 发 送 。 如 果 多 个 输出 链 路 同时 
有 信号 输入 ， 则 向 所 有 输出 链 路 发 送 冲 突 信号 。 

无 源 Hub 中 没有 信号 再 生 电 路 ， 这 种 Hub 只 是 把 输入 链 路 上 的 信号 分 配 到 所 有 的 输出 链 
路 上 。 如 果 使 用 的 介质 是 光纤 ， 则 可 以 把 所 有 的 输入 光纤 熔 焊 到 玻璃 柱 的 两 端 ， 如 图 4-4 所 示 。 
当 有 光 信号 从 输入 端 进来 时 就 照 亮 了 玻璃 柱 ， 从 而 也 照 亮 了 所 有 输出 光纤 ， 这 样 就 起 到 了 光 信 
号 的 分 配 作 用 。 


接收 器 、， 


发 送 器 一- 


输入 光 信号 照 亮 整个 无 源 Hub 输出 光纤 得 到 所 有 光 信 


中 


图 4-4 无 源 星 型 光纤 网 


任何 有 线 传输 介质 都 可 以 使 用 有 源 Hub, 也 可 以 使 用 无 源 Hub。 为 了 达到 较 高 的 数据 速率 ， 
必须 限制 工作 站 到 中 心 节点 的 距离 和 连接 的 站 点 数 。 一 般 来 说 , 无 源 Hub 用 于 光纤 或 同 轴 电 线 
网 络 ， 有 源 Hub 则 用 于 无 屏蔽 双 绞 线 网 络 。 表 4-4 列 出 了 有 代表 性 的 网 络 参数 。 


表 4-4 星 型 网 的 传输 介质 


从 站 到 中 心 节点 的 距离 /km 
0.5 (1Mbps), 0.1 (10Mbps) 


<1 


传输 介质 数据 速率 /Mbps 
无 屏蔽 双 绞 线 。 “| 1 一 10 


基带 同 轴 电 缆 


70 
10 一 20 
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为 了 延长 星 型 网 络 的 传输 距离 和 扩大 网 络 的 规模 ， 可 以 把 多 个 Hub 级 连 起 来 , 组 成 树 型 结 
构 ， 如 图 4-1 (d) 所 示 。 这 棵 树 的 根 是 头 Hub， 其 他 节点 叫 中 间 Hub， 每 个 Hub 都 可 以 连接 多 
个 工作 站 和 其 他 Hub， 所 有 的 叶子 节点 都 是 工作 站 。 图 4-5 抽象 地 表示 出 头 Hub 和 中 间 Hub 的 


完成 了 单个 Hub 同样 的 功能 : 一 个 站 发 出 的 信号 经 Hub 转 接 , 所 有 的 站 都 能 收 到 


区 别 。 头 Hub 可 以 完成 上 述 Hub 的 基本 功能 ， 然 而 中 间 Hub 的 作用 是 把 任何 输入 链 路 上 送 来 
的 信号 向 上 级 Hub 传送 ， 同 时 把 上 级 送 来 的 信号 向 所 有 的 输出 链 路 广播 。 这 样 ， 整 棵 Hub 树 就 


。 如 果 有 两 个 


站 同时 发 送 ， 头 Hub 会 检测 到 冲突 ， 并 向 所 有 的 中 间 Hub 和 工作 站 发 送 冲突 信号 。 


tt Ht 


(a) 头 Hub (b) 中 间 Hub 


图 4-5 头 Hub 和 中 间 Hub 


4.1.2 LAN/MAN 的 IEEE 802 标准 


IEEE 802 委员 会 的 任务 是 制定 局 域 网 和 城 域 网 标准 ， 目 前 有 20 多 个 分 委员 会 ， 它 们 研究 


的 内 容 如 下 。 
(1) 802.1 研究 局 域 网 体系 结构 、 寻 址 、 网 络 互 联 和 网 络 管理 。 
(2) 802.2 研究 逻辑 链 路 控制 子 层 (LLC》 的 定义 。 
(3) 802.3 研究 以 太 网 介质 访问 控制 协议 CSMA/CD 及 物理 层 技 术 规 范 。 
(4 


Re 


802.4 研究 令 牌 总 线 网 Token-Bus) 的 介质 访问 控制 协议 及 物理 层 技术 规范 。 


(5) 802.5 研究 令 牌 环 网 (Token-Ring) 的 介质 访问 控制 协议 及 物理 层 技术 规范 。 


(6) 802.6 研究 城 域 网 介质 访问 控制 协议 DQDB 及 物理 层 技术 规范 。 

(7) 802.7 宽带 技术 咨询 组 ， 提 供 有 关 宽 带 联网 的 技术 咨询 。 

(8) 802.8 光纤 技术 咨询 组 ， 提 供 有 关 光 纤 联 网 的 技术 咨询 。 

(9) 802.9 研究 综合 声音 数据 的 局 域 网 (IVD LAN) 介质 访问 控制 协议 及 物理 
(10) 802.10 网 络 安全 技术 咨询 组 ， 定 义 了 网 络 互 操作 的 认证 和 加 密 方 法 。 


NM 


E 层 技术 规范 。 


(11) 802.11 研究 无 线 局 域 网 WLAN) 的 介质 访问 控制 协议 及 物理 层 技术 规范 。 


(12)〉 802.12 研究 需求 优先 的 介质 访问 控制 协议 (100VG-AnyLAN)。 


(13) 802.14 研究 采用 线 线 调制 解 调 器 (Cable Modem) 的 交互 式 电视 介质 访问 控制 协议 及 


物理 层 技术 规范 。 
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(14) 802.15 研究 采用 蓝牙 技术 的 无 线 个 人 网 (Wireless Personal Area Network，WPAN) 
技术 规范 。 

(15) 802.16 宽带 无 线 接 入 工作 组 ， 开 发 2 一 66GHfz 的 无 线 接 入 系统 空中 接口 。 

(16) 802.17 弹性 分 组 环 (RPR) 工作 组 ， 制 定 了 弹性 分 组 环 网 访问 控制 协议 及 有 关 标 准 。 

(17) 802.18 宽带 无 线 局 域 网 技术 咨询 组 (Radio Regulatory )。 

(18) 802.19 多 重 虚拟 局 域 网 共存 〈Coexistence) 技术 咨询 组 。 

(19) 802.20 移动 宽带 无 线 接 入 (MBWA) 工作 组 ， 正 在 制定 宽带 无 线 接 入 网 的 解决 方案 。 

(20) 802.21 研究 各 种 无 线 网 络 之 间 的 切换 问题 ， 正 在 制定 与 介质 无 关 的 切换 业务 (MIH) 
标准 。 

(21) 802.22 无 线 区 域 网 (Wireless Regional Area Network，WRAN) 工作 组 ， 正 在 制定 利 
用 感知 无 线 电 技术 ， 在 广播 电视 频段 的 空白 频道 进行 无 干扰 无 线 广播 的 技术 标准 。 

由 于 局 域 网 是 分 组 广播 式 网 络 ， 网 络 层 的 路 由 功能 是 不 需要 的 ， 所 以 在 IEEE 802 标准 中 ， 
网 络 层 简化 成 了 上 层 协议 的 服务 访问 点 SAP。 又 由 于 局 域 网 使 用 多 种 传输 介质 ， 而 介质 访问 控 
制 协议 与 具体 的 传输 介质 和 拓扑 结构 有 关 ， 所 以 ，IEEE 802 标准 把 数据 链 路 层 划分 成 了 两 个 子 
层 。 与 物理 介质 相关 的 部 分 叫 作 介质 访问 控制 (Media Access Control，MAC) 子 层 ， 与 物理 介 
质 无 关 的 部 分 叫 作 罗 辑 链 路 控制 (Logical Access Control，LLC) 子 层 。LLC 提供 标准 的 OSI 
数据 链 路 层 服务 ， 这 使 得 任何 高 层 协议 〈 例 如 TCP/I 了 PP、SNA 或 有 关 的 OSI 标准 ) 都 可 运行 于 
局 域 网 标准 之 上 。 局 域 网 的 物理 层 规 定 了 传输 介质 及 其 接口 的 电气 特性 、 机 械 特性 、 接 口 电 路 
的 功能 ， 以 及 信 令 方式 和 信号 速率 等 。 整 个 局 域 网 的 标准 以 及 与 OSI 参考 模型 的 对 应 关系 如 图 
4-6 所 示 。 

从 图 4-6 中 可 以 看 出 , 局 域 网 标准 没有 规定 
高 层 的 功能 ， 高 层 功 能 往往 与 具体 的 实现 有 关 ， 
包含 在 网 络 操作 系统 (NOS) 中， 而 且 大 部 分 
NOS 的 功能 都 是 与 OSURM 或 通行 的 工业 标准 


协议 兼容 的 。 上进 得 链 路 控制 子 层 
局 域 网 的 体系 结构 说 明 ， 在 数据 链 路 层 应 介质 访问 控制 子 层 
当 有 两 种 不 同 的 协议 数据 单元 : LLC 帧 和 MAC 物理 层 


帧 ， 这 两 种 帧 的 关系 如 图 4-7 所 示 。 从 高 层 来 的 

数据 加 上 LLC 的 帧 头 就 成 为 LLC 帧 , 再 向 下 传 “图 4.6 局 域 网 体系 结构 与 OSVRM 的 对 应 关系 
送 到 MAC 子 层 加 上 MAC 的 帧 头 和 帧 尾 ， 组 成 MAC 帧 。 物 理 层 则 把 MAC 帧 当 作 比特 流 透明 
地 在 数据 链 路 实体 间 传 送 。 


网 络 工程 师 教程 (第 5 版 ) 


[ 用 户 数 据 | 


| ea | | LLC 帧 


[eg Ea er 


图 4-7 LELC 帧 和 MAC 帧 的 关系 


4.2 ”逻辑 链 路 控制 子 层 


逻辑 链 路 控制 子 层 规范 包含 在 下 EE 802.2 标准 中 。 这 个 标准 与 HDLC 是 兼容 的 ， 但 使 用 
的 帧 格式 有 所 不 同 。 这 是 由 于 HDLC 的 标志 和 位 填充 技术 不 适合 局 域 网 ， 因 而 被 排除 ， 而 且 帧 
校 验 序列 由 MAC 子 层 实现 , 因而 也 不 包含 在 LLC 帧 结构 中 。 另 外 , 为 了 适合 局 域 网 中 的 寻 址 ， 
地 址 字段 也 有 所 改变 ， 同 时 提供 目标 地 址 和 源 地 址 。LLC 帧 格式 如 图 4-8 所 示 ， 帧 的 类 型 如 表 


4-5 所 示 。 


8 位 8 位 8 位 或 16 位 MX8 位 
(a) 帧 结构 
VG=0 单 地 址 C/R=0 ”命令 
IJG=1 组 地 址 C/R=1 响应 
(b) 地 址 字段 
0 N(S) | P/F N(R) 
信息 帧 
1 o | SS [oo0ool N(R) 
管理 帧 
1 1 MM P/F MMM 
无 编号 帧 
(c) 控制 字段 


N(S): 发 送 顺序 号 。 M: 无 编号 帧 功能 位 。 P/F: 询问 /终止 位 
N(R): 接收 顺序 号 。 S: 管理 帧 功能 位 
图 4-8 LLC 帧 格式 
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表 4-5 LLC 帧 类 型 


控制 字段 编码 命 令 响 应 
1. 无 确认 无 连接 服务 
1100*000 UI 无 编号 信息 Xip ”交换 标识 
无 编号 帧 1111*101 XID ”交换 标识 、 
了 TEST 测试 
1100*111 TEST ”测试 
2. 连接 方式 服务 
信息 帧 0-N(S)-*N(R) |I 信息 I 信息 
管理 帧 10000000*N(R) | RR 接收 准备 好 RR ”接收 准备 好 
10100000*N(R) | RNR ”接收 未 准备 好 RNR ”接收 未 准备 好 
10010000*N(R) | REJ ”拒绝 REJ ”拒绝 
无 编号 帧 1111*110 SABME 和 置 扩充 异步 平衡 方式 
1100*010 DISC ” 断 开 
1100*110 UA ”无 编号 确认 
1111*000 DM ” 断 开 方 式 
1110*001 FRMR ，” 帧 拒绝 
3. 有 确认 无 连接 服务 
区 1110*110 AC1 无 连接 确认 
1110*111 AC1 ”无 连接 确认 AC0 ”无 连接 确认 
4.2.1 LLC 地 址 


LLC 地 址 是 LLC 层 服务 访问 点 。IEEE 802 局 域 网 中 的 地 址 分 两 级 表示 ， 主 机 的 地 址 是 MAC 
地 址 ，LLC 地 址 实际 上 是 主机 中 上 层 协 议 实 体 的 地 址 。 一 个 主机 可 以 同时 拥有 多 个 上 层 协 议 进 
程 ， 因 而 就 有 多 个 服务 访问 点 。IEEE 802.2 中 的 地 址 字段 分 别 用 DSAP 和 SSAP 表示 目标 地 址 
和 源 地 址 (如 图 4-8 所 示 )， 这 两 个 地 址 都 是 7 位 长 ， 相 当 于 HDLC 中 的 扩展 地 址 格式 。 另 外 
增加 的 一 种 功能 是 可 提供 组 地 址 ， 如 图 中 的 VG 位 所 示 。 组 地 址 表示 一 组 用 户 ， 而 全 1 地 址 表 
示 所 有 用 户 。 在 源 地 址 字段 中 的 控制 位 C/R 用 于 区 分 命令 帧 和 响应 帧 。 


4.2.2 LLC 服务 


LLC 提供 了 以 下 3 种 服务 。 

(1) 无 确认 无 连接 的 服务 。 这 是 数据 报 类 型 的 服务 ， 这 种 服务 因 其 简单 而 不 涉及 任何 流 控 
和 差错 控制 功能 ， 因 而 也 不 保证 可 靠 地 提交 。 使 用 这 种 服务 的 设备 必须 在 高 层 软件 中 处 理 可 靠 
性 问题 。 
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(2) 连接 方式 的 服务 。 这 种 服务 类 似 于 HDLC 提供 的 服务 ,在 有 数据 交换 的 用 户 之 间 要 建 
立 连接 ， 同 时 也 通过 连接 提供 流 控 和 差错 控制 功能 。 

(3) 有 确认 无 连接 的 服务 。 这 种 服务 与 前 面 两 种 服务 有 所 交叉 ， 它 提供 有 确认 的 数据 报 ， 
但 不 建立 连接 。 

这 3 种 服务 是 可 选择 的 。 用 户 可 根据 应 用 程序 的 需要 选择 其 中 一 种 或 多 种 服务 。 一 般 来 说 ， 
无 确认 无 连接 的 服务 用 在 以 下 两 种 情况 : 一 种 是 高 层 软 件 具 有 流 控 和 差错 控制 机 制 ， 因 而 LLC 
子 层 就 不 必 提 供 重复 的 功能 ， 例 如 TCP 或 ISO 的 TP4 传输 协议 就 是 这 样 的 ， 另 一 种 情况 是 连 
接 的 建立 和 维护 机 制 会 引起 不 必要 的 开销 ， 因 而 必须 简化 控制 。 例 如 ， 周 期 性 的 数据 采集 或 网 
络 管理 等 应 用 场合 ， 偶 然 的 数据 丢失 是 允许 的 ， 随 后 来 到 的 数据 可 以 弥补 前 面 的 损失 ， 所 以 不 
必 保证 每 一 个 数据 都 能 可 靠 地 提交 。 

连接 方式 的 服务 可 以 用 在 简单 设备 中 ， 例 如 终端 控制 器 ， 它 只 有 很 简单 的 上 层 协议 软件 ， 
因而 由 数据 链 路 层 硬 件 实现 流 控 和 差错 控制 功能 。 

有 确认 无 连接 的 服务 有 高 效 而 可 靠 的 特点 ， 适 合 于 传送 少量 的 重要 数据 。 例 如 ， 在 过 程控 
制 和 工厂 自动 化 环境 中 ， 中 心 站 需要 向 大 量 的 处 理 机 或 可 编程 控制 器 发 送 控制 指令 。 由 于 控制 
指令 的 重要 性 ， 所 以 需要 确认 。 但 如 果 采 用 连接 方式 的 服务 ， 则 中 心 站 必然 要 建立 大 量 的 连接 ， 
数据 链 路 层 软件 也 要 为 建立 连接 、 跟 踪 连 接 的 状态 而 设置 和 维护 大 量 的 表格 。 这 种 情况 下 使 用 
有 确认 无 连接 的 服务 更 有 效 。 另 外 一 个 例子 是 传送 重要 而 时 间 紧 迫 的 告警 或 紧急 控制 信号 。 由 
于 重要 ， 所 以 需要 确认 ; 由 于 紧急 ， 所 以 要 省 去 建立 连接 的 时 间 开 销 。 

4.2.3 LLC 协议 


LLC 协议 与 HDLC 协议 兼容 (如 表 4-5 所 示 )， 它 们 之 间 的 差别 如 下 。 

(1) LLC 用 无 编号 信息 帧 支持 无 连接 的 服务 ， 这 叫 LLC 1 型 操作 。 

(2) LLC 用 HDLC 的 异步 平衡 方式 支持 LLC 的 连接 方式 服务 , 这 种 操作 叫 LLC 2 型 操作 。 
LLC 不 支持 HDLC 的 其 他 操作 。 

(3) LLC 用 两 种 新 的 无 编号 帧 支持 有 确认 无 连接 的 服务 ， 这 叫 LLC 3 型 操作 。 

(4) 通过 LLC 服务 访问 点 支持 多 路 复 用 ， 即 一 对 LLC 实体 间 可 建立 多 个 连接 。 

这 3 类 LLC 操作 都 使 用 同样 的 帧 格式 ， 如 图 4-8 所 示 。LLC 控制 字段 使 用 LLC 的 扩展 
格式 。 

LLC 1 型 操作 支持 无 确认 无 连接 的 服务 。 无 编号 信息 帧 〈UI) 用 于 传送 用 户 数据 。 这 里 没 
有 流 控 和 差错 控制 ， 差 错 控制 由 MAC 子 层 完成 。 另 外 ， 有 两 种 帧 XID 和 TEST 用 于 支持 与 3 
种 协议 都 有 关 的 管理 功能 。XID 帧 用 于 交换 两 类 信息 : LLC 实体 支持 的 操作 和 窗口 大 小 ; 而 
TEST 帧 用 于 进行 两 个 LLC 实体 间 的 通路 测试 。 当 一 个 LLC 实体 收 到 TEST 命令 帧 后 , 应 尽快 
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发 回 TEST 响应 帧 。 

LLC 2 型 操作 支持 连接 方式 的 服务 。 当 LLC 实体 得 到 用 户 的 要 求 后 可 发 出 置 扩展 的 异步 平 
衡 方式 帧 SABME， 另 一 个 站 的 LLC 实体 请 求 建立 连接 。 如 果 目 标 LLC 实体 同意 建立 连接 ， 
则 以 无 编号 应 答 帧 UA 回答 ， 否 则 以 断 开 连 接应 答 帧 DM 回答 。 建 立 的 连接 由 两 端的 服务 访问 
点 唯一 地 标识 。 

连接 建立 后 ， 使 用 工 帧 传送 数据 。I 帧 包含 发 送 /接收 顺序 号 ， 用 于 流 控 和 撒 带 应 答 。 另 外 ， 
还 有 管理 帧 辅助 进行 流 控 和 差错 控制 。 数据 发 送 完成 后 , 任何 一 端的 LLC 实体 都 可 发 出 断 连 帧 
DISC 来 终止 连接 。 这 些 与 HDLC 是 完全 相同 的 。 

LLC 3 型 操作 支持 有 确认 无 连接 的 服务 ， 要 求 每 个 帧 都 要 应 答 。 这 里 使 用 了 一 种 新 的 无 连 
接应 答 帧 AC (Acknowledged Connectionless)。 信 息 通过 AC 命令 帧 发 送 ， 接 收 方 以 AC 响应 帧 
回答 。 为 了 防止 帧 的 丢失 ， 使 用 了 1 位 序列 号 。 发 送 者 交替 在 AC 命令 帧 中 使 用 0 和 1， 接 收 
者 以 相反 序号 的 AC 帧 回答 ， 这 类 似 于 停 等 协议 中 发 生 的 过 程 。 


4.3 IEEE 802.3 标准 


对 总 线 型 . 星 型 和 树 型 拓扑 最 适合 的 介质 访问 控制 协议 是 CSMAVCD(Carrier Sense Multiple 
Access/Collision Detection)。 早 期 对 CSMA/CD 协议 有 较 大 影响 的 是 20 世纪 70 年 代 美 国 夏威夷 
大 学 建立 的 ALOHA 网 络 ， 其 中 运行 的 ALOHA 协议 的 效率 只 有 0.184， 即 使 是 经 过 改进 的 分 
档 的 ALOHA 协议 效率 也 只 有 0.368， 大 部 分 时 间 都 被 工作 站 之 间 的 竞争 发 送 浪费 了 ， 后 来 制 
定 的 CSMA/CD 协议 效率 则 要 高 得 多 ， 详 见 下 面 的 分 析 。 

4.3.1 CSMA/CD 协议 


ALOHA 系统 效率 不 高 ， 主 要 缺点 是 各 个 工作 站 独立 地 决定 发 送 的 时 刻 ， 使 得 冲突 概率 很 
高 ， 信 道 利用 率 下 降 。 如 果 各 个 站 在 发 送 之 前 先 监听 信道 上 的 发 送 情况 ， 信 道 忙 时 后 退 一 段 时 
间 再 发 送 ， 就 可 大 大 减少 冲突 概率 。 这 就 是 在 局 域 网 上 广泛 采用 的 载波 监听 多 路 访问 (CSMA) 
协议 。 对 于 局 域 网 ， 监 听 是 很 容易 做 到 的 。 在 局 域 网 中 ， 最 远 两 个 站 之 间 的 传播 时 延 很 小 只 
有 几 微 秒 ， 只 要 有 站 在 发 送 ， 别 的 站 很 快 就 会 听 到 ， 从 而 可 避免 与 正在 发 送 的 站 产生 冲突 。 同 
时 ， 帧 的 发 送 时 间 # 相 对 于 网 络 延 迟 要 大 得 多 ， 一 个 帧 一 旦 开始 成 功 地 发 送 ， 则 在 较 长 一 段 时 
间 内 可 保持 网 络 中 有 效 地 传输 ， 从 而 大 大 提高 了 信道 利用 率 。 

CSMA 的 基本 原理 是 : 站 在 发 送 数据 之 前 ， 先 监听 信道 上 是 否 有 别 的 站 发 送 的 载波 信号 。 
车 有 ， 说 明 信 道 正 忙 ， 否 则 说 明 信 道 是 空闲 的 ， 然 后 根据 预定 的 策略 决定 : 

(1) 若 信道 空头 ， 是 否 立 即 发 送 。 

(2) 若 信 道 忙 ， 是 否 继续 监听 。 


国 104 若 。 网 络 工 程 师 教程 (第 5 版) 


即使 信道 空闲 ， 若 立即 发 送 仍然 会 发 生 冲突 。 一 种 情况 是 远 端的 站 刚 开 始 发 送 ， 载 波 信号 
尚未 到 达 监 听 站 ， 这 时 监听 站 若 立 即 发 送 ， 就 会 和 远 端的 站 发 生 冲 突 ; 另 一 种 情况 是 虽然 暂时 
没有 站 发 送 ， 但 碰巧 两 个 站 同时 开始 监听 ， 如 果 它 们 都 立即 发 送 ， 也 会 发 生 冲突 。 所 以 ， 上 面 
的 控制 策略 的 第 (1)》 点 就 是 想 要 避免 这 种 虽然 稀少 、 但 仍 可 能 发 生 的 冲突 。 若 信道 忙 时 ， 如 
果 坚 持 监听 ， 发 送 的 站 一 旦 停止 就 可 立即 抢占 信道 。 但 是 ， 有 可 能 几 个 站 同时 都 在 监听 ， 同 时 
都 抢占 信道 ， 从 而 发 生 冲 突 。 以 上 控制 策略 的 第 〈2) 点 就 是 进一步 优化 监听 算法 ， 使 得 有 些 
监听 站 或 所 有 监听 站 都 后 退 一 段 随机 时 间 再 监听 ， 以 避免 冲突 。 
1. 监听 算法 
监听 算法 并 不 能 完全 避免 发 送 冲突 ， 但 若 对 以 上 两 种 控制 策略 进行 精心 设计 ， 则 可 以 把 冲 
突 概率 减 到 最 小 。 据 此 ， 有 以 下 3 种 监听 算法 〈 如 图 4-9 所 示 )。 
非 坚持 型 


常数 或 可 变 延 迟 。| 一 ”如 果 空 闲 , 则 发 送 
否则 后 退 , 再 试 


信道 位 


{ | 
准 各 发送 /一 和 
1 坚持 型 


P- 坚 持 型 
只 要 信道 变 闲 , 就 可 立即 发 送 ”信道 变 闲 时 以 概率 P 发 送 ， 
如 果 冲 突 , 后 退 再 试 否则 延迟 一 个 时 模 


图 4-9 三 种 监听 算法 


(1) 非 坚 持 型 监听 算法 。 这 种 算法 可 描述 如 下 : 当 一 个 站 准备 好 帧 ， 发 送 之 前 先 监听 信道 。 

@ 若 信道 空间 ， 立 即 发 送 ， 否 则 转 @。 

@ 若 信道 已 ， 则 后 退 一 个 随机 时 间 ， 重 复 GD。 

由 于 随机 时 延 后 退 ， 从 而 减少 了 冲突 的 概率 。 然 而 ， 可 能 出 现 的 问题 是 因为 后 退 而 使 信道 
闲置 一 段 时 间 ， 这 使 信道 的 利用 率 降低 ， 而 且 增 加 了 发 送 时 延 。 

(2) 1- 坚 持 型 监听 算法 。 这 种 算法 可 描述 如 下 : 当 一 个 站 准备 好 帧 ， 发 送 之 前 先 监听 信道 。 

@ 车 信道 空间 ， 立 即 发 送 ， 否 则 转 @)。 

@ 若 信 道 已 ， 继 续 监听 ， 直 到 信道 空闲 后 立即 发 送 。 

这 种 算法 的 优 缺点 与 前 一 种 正好 相反 : 有 利于 抢占 信道 ， 减 少 信道 空闲 时 间 。 但 是 ， 多 个 
站 同时 都 在 监听 信道 时 必然 会 发 生 冲 突 。 
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(3) P- 坚 持 型 监听 算法 。 这 种 算法 汲取 了 以 上 两 种 算法 的 优点 ， 但 较为 复杂 。 这 种 算法 描 
述 如 下 。 

@ 若 信道 空间 ， 以 概率 妃 发 送 ， 以 概率 〈1-P) 延迟 一 个 时 间 单 位 。 一 个 时 间 单 位 等 于 网 
络 传输 时 延 r 


@ 若 信 道 已 ， 继 续 监 听 直 到 信道 空闲 ， 转 〇 D。 

图 如 果 发 送 延 迟 一 个 时 间 单 位 zs， 则 重复 @。 

困难 的 问题 是 决定 概率 P 的 值 ，P 的 取 值 应 在 重负 载 下 能 使 网 络 有 效 地 工作 。 为 了 说 明 P 
的 取 值 对 网 络 性 能 的 影响 ， 假 设 有 个 站 正在 等 待 发 送 ， 与 此 同时 ， 有 一 个 站 正在 发 送 。 当 这 
个 站 发 送 停 止 时 ， 实 际 要 发 送 的 站 数 等 于 naP。 若 nP 大 于 1， 则 必 有 多 个 站 同时 发 送 ， 这 必然 
会 发 生 冲 突 。 这 些 站 感觉 到 冲突 后 若 重 新 发 送 ， 就 会 再 一 次 发 生 冲 突 。 更 糟 的 是 其 他 站 还 可 能 
产生 新 帧 ， 与 这 些 未 发 出 的 帧 竞争 ， 更 加 剧 了 网 上 的 冲突 。 极 端 情况 下 会 使 网 络 吞 吐 率 下 降 到 
0。 若 要 避免 这 种 灾难 ， 对 于 某 种 n 的 峰值 ，nP 必须 小 于 1。 然 而 ， 若 己 值 太 小 ， 发 送 站 就 要 
等 待 较 长 的 时 间 。 在 轻 负载 的 情况 下 ， 这 意味 着 较 大 的 发 送 时 延 。 例 如 ， 只 有 一 个 站 有 帧 要 发 
送 ， 若 P=0.1， 则 以 上 算法 的 第 @ 步 重复 的 平均 次 数 为 /P=10， 也 就 是 说 ， 这 个 站 平均 多 等 待 
9 倍 的 时 间 单位 

各 种 监听 算法 以 及 ALOHA 算法 中 网 络 负载 和 信道 利用 率 的 关系 曲线 如 图 4-10 所 示 。 可 
以 看 出 ， 已 值 小 的 监听 算法 对 信道 的 利用 率 有 利 ， 但 是 引入 了 较 大 的 发 送 时 延 。 


0.01- 坚 持 CSMA 


不 坚持 CSMA 


0.1- 坚 持 CSMA 


图 4-10 各 种 随机 访问 协议 的 G-S 曲线 


2. 冲突 检测 原理 
载波 监听 只 能 减 小 冲突 的 概率 ， 不 能 完全 避免 冲突 。 当 两 个 帧 发 生 冲突 后 ， 若 继续 发 送 ， 
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将 会 浪费 网 络 带宽 。 如 果 帧 比较 长 ， 对 带宽 的 浪费 就 大 了 。 为 了 进一步 改进 带宽 的 利用 率 ， 发 
送 站 应 采取 边 发 边 听 的 冲突 检测 方法 ， 即 ; 

(1) 发 送 期 间 同时 接收 ， 并 把 接收 的 数据 与 站 中 存储 的 数据 进行 比较 。 

(2) 若 比较 结果 一 致 ， 说 明 没有 冲突 ， 重 复 (1)。 

(3) 若 比 较 结果 不 一 致 ， 说 明 发 生 了 冲突 ， 立 即 停止 发 送 ， 并 发 送 一 个 简短 的 干扰 信号 


(Jamming)， 使 所 有 站 都 停止 发 送 。 
(4) 发 送 Jamming 信号 后 ， 


等 待 一 段 随机 长 的 时 间 ， 重 新 监听 ， 再 试 着 发 送 。 


带 冲突 检测 的 监听 算法 把 浪费 带宽 的 时 间 减 少 到 检测 冲突 的 时 间 。 对 局 域 网 来 说 ， 这 个 时 
间 是 很 短 的 。 在 图 4-11 中 画 出 了 基带 系统 中 检测 冲突 需要 的 最 长 时 间 。 这 个 时 间 发 生 在 网 络 中 
相距 最 远 的 两 个 站 (A 和 D) 之 间 。 在 时 刻 ，A 开始 发 送 。 假 设 经 过 一 段 时 间 r( 网 络 最 大 传 


播 时 延 ) 后 ，D 开始 发 送 。D 立即 就 会 检 
测 到 冲突 ， 并 能 很 快 停止 。 但 A 仍然 感觉 


-~ 


不 到 冲突 ， 并 继续 发 送 。 再 经 过 一 段 时 间 。 “站 下 中 再 
t，A 才 会 收 到 冲突 信号 ， 从 而 停止 发 送 。 ee 
可 见 , 在 基带 系统 中 检测 冲突 的 最 长 时 间 [Fes = 
是 网 络 传播 延迟 的 两 倍 ， 把 这 个 时 间 叫 作 。 ‘++ | 
冲突 窗口 。 [sa| [a] [Id bb 
与 冲突 窗口 相关 的 参数 是 最 小 帧 长 。 冲突 由 
设想 图 4-11 中 的 A 站 发 送 的 帧 较 短 ， 在 | | 
2t 时 间 内 已 经 发 送 完毕 , 这 样 A 站 在 整个 人 
发 送 期 间 将 检测 不 到 冲突 。 为 了 避免 这 种 站 
情况 ， 网 络 标准 中 根据 设计 的 数据 速率 和 图 4-11 以 太 网 中 的 冲突 时 间 
最 大 网 段 长 度 规定 了 最 小 帧 长 Pan。 
Toin =2RXd/v (4.1) 
这 里 R 是 网 络 数据 速率 ，q 为 最 大 段 长 ，v 是 信号 传播 速度 。 有 了 最 小 帧 长 的 限制 ， 发 送 


站 必须 对 较 短 的 帧 增加 填充 位 ， 使 其 等 于 最 小 帧 长 。 接 收 站 对 收 到 的 帧 要 检查 长 度 ， 小 于 最 小 


帧 长 的 帧 被 认为 是 冲突 碎片 而 丢弃 。 
3. 二 进程 指数 后 退 算法 


上 文 提 到 ,检测 到 冲突 发 送 干扰 信号 后 退 一 段 时 间 重 新 发 送 。 后 退 时 间 的 多 少 对 网 络 的 稳 
定 工 作 有 很 大 影响 。 特 别 是 在 负载 很 重 的 情况 下 ， 为 了 避免 很 多 站 连续 发 生 冲 突 ， 需 要 设计 有 
效 的 后 退 算法 。 按 照 二 进 制 指数 后 退 算法 ， 后 退 时 延 的 取 值 范 围 与 重 发 次 数 形成 二 进 制 指数 
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关系 。 或 者 说 ， 随 着 重 发 次 数 n 的 增加 ， 后 退 时 延 如 的 取 值 范围 按 2 的 指数 增 大 。 即 第 一 次 试 
发 送 时 的 值 为 0， 每 冲突 一 次 n 的 值 加 1， 并 按 下 式 计算 后 退 时 延 。 
gi 2] 


(4.2) 
tf.=6r 


其 中 ， 第 一 式 是 在 区 间 [0,2"] 中 取 一 均匀 分 布 的 随机 整数 6， 第 二 式 是 计算 出 随机 后 退 时 延 。 为 
了 避免 无 限制 的 重 发 ， 要 对 重 发 次 数 n 进行 限制 ， 这 种 情况 往往 是 信道 故障 引起 的 。 通 常 当 n 
增加 到 某 一 最 大 值 〈 例 如 16〉 时， 停止 发 送 ， 并 向 上 层 协议 报告 发 送 错 误 。 

当然 ， 还 可 以 用 其 他 的 后 退 算法 ， 但 二 进 制 指数 后 退 算法 考虑 了 网 络 负载 的 变化 情况 。 事 
实 上 ， 后 退 次 数 的 多 少 往往 与 负载 大 小 有 关 ， 二 进 制 指数 后 退 算法 的 优点 正 是 把 后 退 时 延 的 平 
均 取 值 与 负载 的 大 小 联系 了 起 来 。 


4. CSMA/CD 协议 的 实现 


对 于 基带 总 线 和 宽带 总 线 ，CSMA/CD 的 实现 基本 上 是 相同 的 ， 但 也 有 一 些 差 别 。 差 别 之 
一 是 载波 监听 的 实现 。 对 于 基带 系统 ， 是 检测 电压 脉冲 序列 。 由 于 以 太 网 上 的 编码 采用 
Manchester 编码 ， 这 种 编码 的 特点 是 每 位 中 间 都 有 电压 跳 变 ， 监 听 站 可 以 把 这 种 跳 变 信号 当 作 
代表 信道 忙 的 载波 信号 。 对 于 宽带 系统 ， 监 听 站 接收 RF 载波 以 判断 信道 是 否 空闲 。 

差别 之 二 是 冲突 检测 的 实现 。 对 于 基带 系统 ， 是 把 直流 电压 加 到 信号 上 来 检测 冲突 的 。 每 
个 站 都 测量 总 线 上 的 直流 电 平 ， 由 于 冲突 而 迭 加 的 直流 电 平 比 单个 站 发 出 的 信号 强 ， 所 以 
IEEE 802 标准 规定 ， 如 果 发 送 站 电线 接头 处 的 信号 强度 超过 了 单个 站 发 送 的 最 大 信号 强度 ， 则 
说 明 检 测 到 了 冲突 。 然 而 ， 信 号 在 电缆 上 传播 时 会 有 衰减 ， 如 果 电缆 太 长 ， 就 会 使 冲突 信号 到 
达 远 端 时 的 幅度 小 于 规定 的 CD 门限 值 。 为 此 ， 标 准 限制 了 电缆 长 度 〈500m 或 200m)。 

对 于 宽带 系统 , 有 几 种 检测 冲突 的 方法 。 方 法 之 一 是 把 接收 的 数据 与 发 送 的 数据 逐 位 比较 。 
当 一 个 站 向 入 径 上 发 送 时 ， 同 时 〈 考 虑 了 传播 和 端 头 的 延迟 后 ) 从 出 径 上 接收 数据 ， 通 过 比较 
发 现 是 否 有 冲突 ;另外 一 种 方法 用 于 分 裂 配置 ， 由 端 头 检查 是 否 有 破坏 了 的 数据 ， 这 种 数据 的 
频率 与 正常 数据 的 频率 不 同 。 

对 于 双 绞 线 星 型 网 ， 冲 突 检 测 的 方法 更 简单 (如 图 4-12 所 示 )。 在 这 种 情况 下 ，Hub 监视 
输入 端的 活动 ， 若 有 两 处 以 上 的 输入 端 出 现 信 号 ， 则 认为 发 生 冲 突 ， 并 立即 产生 一 个 “冲突 出 
现 ” 的 特殊 信号 CP， 向 所 有 输出 端 广播 。 图 4-12 〈a) 是 无 冲突 的 情况 。 在 图 4-12 (b) 中 连 
接 A 站 的 IHub 检测 到 了 冲突 ，CP 信号 被 向 上 传 到 了 HHub， 并 广播 到 所 有 的 站 。 图 4-12 (c) 
表示 的 是 三 方 冲突 的 例子 。 
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(ce) A、B 和 C 同时 发 送 
图 4-12 星 型 网 的 冲突 检测 


4.3.2 CSMA/CD 协议 的 性 能 分 析 


下 面 分 析 传播 延迟 和 数据 速率 对 网 络 性 能 的 影响 。 

吞吐 率 是 单位 时 间 内 实际 传送 的 位 数 。 假 设 网 上 的 站 都 有 数据 要 发 送 ， 没 有 竞争 冲突 ， 各 
站 轮流 发 送 数据 ， 则 传送 一 个 长 度 为 工 的 帧 的 周期 为 b+ 如 如 图 4-13 所 示 。 由 此 可 得 出 最 大 知 
吐 率 为 


二 
二 qd/lv+L/R C43 


其 中 ，q 表示 网 段 长 度 ，v 为 信号 在 铜 线 中 的 传播 速度 光速 的 65% 一 77%)，R 为 网 络 提供 的 
数据 速率 ， 或 者 称 为 网 络 容量 。 
同时 可 得 出 网 络 利用 率 


三 
ESR Iv+LIR r+ 和 


利用 a=ty/y 得 


下 = 一 (4.5) 
at+l 


这 里 假定 是 全 双 工 信道 ，MAC 子 层 可 以 不 要 应 答 ， 而 由 LLC 子 层 进行 撒 带 应 答 。 得 出 的 
结论 是 : a (或 者 Rd 的 乘积 ) 越 大 ， 信 道 利用 率 越 低 。 表 4-6 列 出 了 LAN 中 a 值 的 典型 情况 。 
可 以 看 出 ， 对 于 大 的 高 速 网 络 ， 利 用 率 是 很 低 的 。 所 以 在 跨度 大 的 城 域 网 中 ， 同 时 传送 的 不 只 
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是 一 个 帧 ， 这 样 才 可 以 提高 网 络 效率 。 值 得 指出 的 是 ， 以 上 分 析 假定 没有 竞争 ， 没 有 开销 ， 是 


最 大 吞吐 率 和 最 大 效率 。 实 际 网 络 


发 生 的 情况 更 差 ， 详 见 下 面 的 讨论 。 


传输 时 间 =a<1 发 送 时 间 =1 
和 传输 时 间 =a>1 
四 上 卫 发 送 开始 a 发送 开 始 发 送 时 间 -1 
ho 上 
EE ] 发 送 结束 
机 名 荆 | ttlH T 
发 送 结束 
tl 1 id 接收 开始 Ea 
接收 结束 加 本 可 
htlta HT 百 | | 扣 收 结束 
人 六 同时 发 送 时 间 -1 0 
总 线 占 用 时 间 =1+a 总 线 占用 时 间 =1+a 
交 9 效率 =1(1+0) 
(a) a<l (b) a>1 
图 4-13 a 对 网 络 利用 率 的 影响 
表 4-6 a 值 和 网 络 利用 率 
数据 速率 /Mbps 帧 长 /位 a 1/(1+a) 
1 100 0.05 0.95 
1 1000 0.05 0.95 
1 100 0.5 0.67 
10 100 0.5 0.67 
10 1000 0.05 0.95 
10 1000 0.5 0.67 
10 10 000 0.05 0.95 
100 35 000 2 0.26 
100 1 000 5 0.04 
4.3.3 MAC 和 PHY 规范 


最 早 采 用 CSMA/CD 协议 的 网 络 是 Xerox 公司 的 以 太 网 。1981 年 ，DEC、Intel 和 Xerox 
三 家 公司 制定 了 DIX 以 太 网 标准 , 使 这 一 技术 得 到 越 来 越 广泛 的 应 用 。IEEE 802 委员 会 制定 局 


0 
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域 网 标准 时 参考 了 以 太 网 标准 , 并 增加 了 几 种 新 的 传输 介质 。 读 者 下 面 会 看 到 , 以 太 网 只 是 802.3 
标准 中 的 一 种 。 


1. MAC 帧 结构 


802.3 的 帧 结构 如 图 4-14 所 示 。 
字 节 数 7 2 或 6 2 或 6 2 0~1500 0~46 4 
| 前导 字段 | 帧 起 始 和 | swt | 源 地 址 | 长 度 | 数据 | 填 克 | 校 几 和 | 


图 4-14 802.3 的 帧 格式 


每 个 帧 以 7 个 字 节 的 前 导 字 段 开 头 , 其 值 为 10101010, 这 种 模式 的 曼彻斯特 编码 产生 10MHz、 
持续 9.6hs 的 方 波 ， 作 为 接收 器 的 同步 信号 。 帧 起 始 符 的 代码 为 10101011， 它 标志 着 一 个 帧 的 
开始 。 

帧 内 的 源 地 址 和 目标 地 址 可 以 是 6 字 节 或 2 字 节 长 ，10Mbps 的 基带 网 使 用 6 字 节 地 址 。 
目标 地 址 最 高 位 为 0 时 表示 普通 地 址 , 为 1 时 表示 组 地 址 , 向 一 组 站 发 送 称 为 组 播 (Multicast)。 
全 1 的 目标 地 址 是 广播 地 址 ， 所 有 站 都 接收 这 种 帧 。 次 最 高 位 (第 46 位 ) 用 于 区 分 局 部 地 址 
或 全 局 地 址 。 局 部 地 址 仅 在 本 地 网 络 中 有 效 ， 全 局 地 址 由 IEEE 指定 ， 全 世界 没有 全 局 地 址 相 
同 的 站 。IEEE 为 每 个 硬件 制造 商 指定 网 卡 (NIC) 地 址 的 前 3 个 字 节 ， 后 3 个 字 节 由 制造 商 自 
己 编 码 。 

长 度 字段 说 明 数据 字段 的 长 度 。 数 据 字 段 可 以 为 0， 这 时 帧 中 不 包含 上 层 协议 的 数据 。 为 
了 保证 帧 发 送 期 间 能 检测 到 冲突 ，802.3 规定 最 小 帧 为 64 字 节 。 这 个 帧 长 是 指 从 目标 地 址 到 校 
验 和 的 长 度 。 由 于 前 导 字 段 和 帧 起 始 符 是 在 物理 层 加 上 的 ， 所 以 不 包括 在 帧 长 中 ， 也 不 参加 由 
校 验 。 如 果 帧 的 长 度 不 足 64 字 节 ， 要 加 入 最 多 46 字 节 的 填充 位 。 

早期 的 802.3 帧 格式 与 DIX 以 太 网 不 同 ，DIX 以 太 网 用 类 型 字段 指示 封装 的 上 层 协 议 ， 而 
IEEE 802.3 为 了 通过 LLC 实现 向 上 复 用 , 用 长 度 字段 取代 了 类 型 字段 。 实 际 上 ， 这 两 种 格式 可 
以 并 存 ， 两 个 字 节 可 表示 的 数字 值 范围 是 0 一 65 535， 长 度 字段 的 最 大 值 是 1500， 因 此 1501 一 
65 535 之 间 的 值 都 可 以 用 来 标识 协议 类 型 。 事 实 上 ， 这 个 字段 的 1336 一 65 535 (0x0600 一 0xFFFF) 
之 间 的 值 都 被 保留 作为 类 型 值 ， 而 0 一 1500 则 被 用 作 长 度 的 值 。 许 多 高 层 协议 例如 TCP/IP、 
IPX、DECnet4) 使 用 DIX 以 太 网 帧 格式 ， 而 IEEE 802.3/LLC 在 Apple Talk-2 和 NetBIOS 中 得 
到 应 用 。 

IEEE 802.3x 工作 组 为 了 支持 全 双 工 操作 开发 了 流量 控制 算法 , 这 使 得 帧 格式 出 现 了 一 些 变 


化 ， 新 的 MAC 协议 使 用 类 型 字段 来 
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区 分 MAC 控制 帧 和 其 他 类 型 的 帧 。IEEE 802.3x 在 1997 年 2 


月 成 为 正式 标准 ， 使 得 原来 的 “以 太 网 使 用 类 型 字段 而 下 EE 802.3 使 用 长 度 字 段 ” 的 差别 消失 。 


2. CSMA/CD 协议 的 实现 


IEEE 802.3 采用 CSMA/CD 协议 ， 这 个 协议 的 载波 监听 、 冲 突 检测 、 冲 突 强化 和 二 进 制 数 
后 退 等 功能 都 由 硬件 实现 。 这 些 硬件 逻辑 电路 包含 在 网 卡 中 。 网 卡 上 的 主要 器 件 是 以 太 网 数据 
链 路 控制 器 〈Ethernet Data Link Controller，EDLC)。 这 个 器 件 中 有 两 套 独立 的 系统 ， 分 别 用 于 
发 送 和 接收 ， 它 的 主要 功能 如 图 4-15 所 示 。 


i 
N 
接收 同步 字 
Js 
时 器 1 
接收 数据 由 
设置 发 送 状态 
N 
1 
发 送 CRC 码 到 
继续 接收 数据 由 人 
后 退 延 迟 
N 
发 送 Jamming 信 和 号 CRC 校 验 正确 > 正确 的 数据 帧 ee 
| 四 
发 送 失败 “| > | 重 发 次 数 加 1 取消 接收 的 数据 由 
(a) 发 送 流程 (b) 接收 流程 


图 4-15 EDLC 的 工作 流程 
IEEE 802.3 使 用 1- 坚 持 型 监听 算法 ， 因 为 这 个 算法 可 及 时 抢占 信道 ， 减 少 空闲 期 ， 同 时 实 
现 也 较 简单 。 在 监听 到 网 络 由 活动 变 成 安静 后 ， 并 不 能 立即 开始 发 送 ， 还 要 等 待 一 个 最 小 帧 间 
隔 时 间 ， 只 有 在 此 期 间 网 络 持续 平静 ， 才 能 开始 试 发 送 。 最 小 帧 间隔 时 间 规 定 为 9.6hs。 
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在 发 送 过 程 中 继续 监听 。 若 检测 到 冲突 ,发 送 8 个 十 六 进 制 数 的 序列 55555555， 这 就 是 协 
议 规定 的 阻塞 信号 。 

接收 站 要 对 收 到 的 帧 进行 校 验 。 除 CRC 校 验 之 外 还 要 检查 帧 的 长 度 。 短 于 最 小 长 度 的 帧 
被 认为 是 冲突 碎片 而 丢弃 ， 帧 长 与 数据 长 度 不 一 致 的 帧 以 及 长 度 不 是 整数 字 节 的 帧 也 被 丢弃 。 

另外 ， 网 卡 上 还 有 物理 层 的 部 分 设备 ， 例 如 Manchester 编码 器 与 译 码 器 ， 存 储 网 卡 地 址 
的 ROM, 与 传输 介质 连接 的 收发 器 , 以 及 与 主机 总 线 的 接口 电路 等 。 随 着 VLSI 集成 度 的 提高 ， 
网 卡 技术 发 展 很 快 ， 网 卡 上 的 器 件数 量 越 来 越 少 ， 功 能 越 来 越 强 。 


3， 物理 层 规范 
802.3 最 初 的 标准 规定 了 6 种 物理 层 传输 介质 ， 这 些 传 输 介质 的 主要 参考 数 如 表 4-7 所 示 。 
表 4-7 802.3 的 传输 介质 


属性 10Base-p 
拓扑 结 构 EE 


数据 速率 证 
Mbps 
信号 类 型 | 基带 曼 基带 曼 码 


由 表 4-7 可 知 ，Ethernet 规范 与 10Base 5 相同 。 这 里 的 10 表示 数据 速率 为 10 Mbps，Base 
表示 基带 ，5 表示 最 大 段 长 为 500m。 其 他 几 种 标准 的 命名 方法 是 类 似 的 。 

10Base 5 采用 特性 阻抗 为 509 的 粗 同 轴 电 线 。 这 种 网 络 的 收发 器 不 在 网 卡 上 , 而 是 直接 与 
电缆 相连 ， 称 为 外 收发 器 ， 如 图 4-16 所 示 。 收 发 器 电缆 最 长 为 5m， 电 缆 段 最 长 为 500m， 最 
大 节点 数 限 于 100 个 工作 站 。 分 接头 之 间 的 距离 为 2.5m 的 整数 倍 ， 这 样 的 间隔 保证 从 相 邻 分 
接头 处 反射 回来 的 信号 不 会 登 加。 如 果 通 信 距 离 较 远 ， 可 以 用 中 继 器 (repeater) 把 两 个 网 络 段 
连接 在 一 起 。 标 准 规定 网 络 最 大 跨度 为 2.5km， 由 5 段 组 成 ， 最 多 含 4 个 中 继 器 ， 其 中 3 段 为 
同 轴 电 缆 ， 其 余 为 链 路 段 ， 不 含 工作 站 。 

10Base 2 标准 可 组 成 一 种 廉价 网 络 ， 这 是 因为 电缆 较 细 ， 容 易 安装 ， 收 发 器 包含 在 工作 站 
内 的 网 卡 上 ， 使 用 了 型 连接 器 和 BNC 接头 直接 与 电缆 相连 ， 如 图 4-17 所 示 。 由 于 数据 速率 相 
同 ，10Base 2 网 段 和 10Base 5 网 段 可 用 中 继 器 混合 连接 。 这 两 种 标准 的 主要 参数 对 比如 表 4-8 
所 示 。 
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DTE DTE 
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U ~ XX 


NBC T 型 头 细 同 轴 电 缆 


图 4-16 10Base 5 的 收发 器 图 4-17 10Base 2 的 配置 


表 4-8 10Base 5 和 10Base 2 的 标准 参数 


参 “ 数 10Base 2 
传输 介质 同 轴 电 缆 (50Q) 
信人 技术 各 旨 隐 
数据 速率 /Mbps | » | w 
最 大 段 长 m 185 
网 络 跨度 /m 1000 
每 段 节点 数 | wo | » 
节点 距离 种 05 
电缆 直径 /mm 10 5 
时 槽 /位 512 512 
帧 间隔 /hs 9.6 9.6 
最 大 重 传 次 数 16 16 
最 大 后 退 时 槽 数 10 10 
阻塞 信号 〈Jam) 长 度 /位 32 32 
最 大 帧 长 /8 位 组 1518 1518 
最 小 帧 长 8 位 组 | «4 | 9 


1Base 5 和 10Base-T 采用 无 屏蔽 双 绞 线 (Unshilded Twisted Pair) 和 星 型 拓扑 结构 。 这 两 种 网 
络 的 段 长 是 指 从 工作 站 到 Hub 的 距离 。AT&T 开发 的 1Base 5 网 络 叫 作 StarLAN。10Base-T 是 早期 


国 114 若 。 网 纤 工程 岳 教程 (第 5 版) 


市 场 上 最 常见 的 LAN 产品 ， 现 在 已 经 被 更 快 的 100Base-T 产品 代替 了 。 

10Broad 36 是 一 种 宽带 LAN， 采 用 双 费 或 分 裂 配置 。 单 个 网 段 的 长 度 为 1800m， 最 大 端 到 
端的 距离 是 3600m。 这 种 网 络 可 与 基带 系统 兼容 , 方法 是 把 基带 曼 码 经 过 差分 相 移 键 控 (DPSK) 
调制 后 发 送 到 宽带 电缆 上 。 还 有 一 种 叫 作 10Base-F 的 网 络 ,，F 代表 光纤 介质 ， 可 用 同步 有 源 星 型 
或 无 源 星 型 结构 实现 ， 数 据 速率 都 是 10Mbps， 网 络 长 度 分 别 为 500m 和 2000m。 


4.3.4 交换 式 以 太 网 


在 重负 载 下 ， 以 太 网 的 吞吐 率 大 大 下 降 。 实 际 的 通信 速率 比 网 络 提供 的 带宽 低 得 多 ， 这 是 
因为 所 有 的 站 竞争 同一 信道 所 引起 的 。 使 用 交换 技术 可 以 改善 这 种 情况 ， 交 换 式 以 太 网 就 是 
802.3 标准 的 改进 ， 下 面 简 述 这 种 技术 的 基本 原理 。 

交换 式 以 太 网 的 核心 部 件 是 交换 机 ， 这 种 设备 有 一 个 高 速 底板 (工作 速率 为 1Gbps)。 底 板 
上 有 4 一 32 个 插 槽 ,每 个 插 模 可 连接 一 块 插入 卡 , 卡 上 有 1 一 8 个 连接 器 ,用 于 连接 带 有 10Base-T 
网 卡 的 主机 ， 如 图 4-18 所 示 。 

交换 机 


连接 主机 


图 4-18 交换 式 以 太 网 


连接 器 接收 主机 发 来 的 帧 。 插 入 卡 判 断 目 标 地 址 ， 如 果 目 标 站 是 同一 卡 上 的 主机 ， 则 把 帧 
转发 到 相应 的 连接 器 端口 ， 否 则 就 转发 给 高 速 底板 。 底 板 根据 专用 的 协议 进一步 转发 ， 送 达 目 
标 站 。 

当 同 一 插入 卡 上 有 两 个 以 上 的 站 发 送 帧 时 就 发 生 冲 突 。 分 解 冲突 的 方法 取决 于 插入 卡 的 罗 
辑 结构 。 一 种 方法 是 同一 卡 上 的 所 有 端口 连接 在 一 起 形成 一 个 冲突 域 ， 卡 上 的 冲突 分 解 方法 与 
通常 的 CSMA/CD 协议 一 样 处 理 。 这 样 ， 一 个 卡 上 同时 只 能 有 一 个 站 发 送 ， 但 整个 交换 机 中 有 
多 个 插入 卡 ， 因 而 有 多 个 站 可 同时 发 送 。 对 整个 网 络 的 带宽 提高 的 倍数 等 于 插入 卡 的 数量 。 

另外 一 种 方法 是 把 来 自主 机 的 输入 由 卡 上 的 存储 器 缓冲 , 这 种 设计 允许 卡 上 同时 有 多 个 端 
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发 送 帧 。 对 于 存储 的 帧 的 处 理 方法 仍然 是 适时 转发 ， 这 样 就 不 存在 冲突 了 。 这 种 技术 可 以 把 
标准 以 太 网 的 带宽 提高 一 到 两 个 数量 级 。 

进一步 扩展 联网 范围 的 方法 是 把 10Base-T 的 Hub 连接 在 交换 机 上 。 这 样 的 交换 机 相当 于 
网 桥 ， 它 提供 10Base-TLAN 之 间 的 互 连 ， 并 根据 目标 地 址 进行 帧 转发 。 


4.3.5 高速 以 大 网 


1， 快 速 以 太 网 


1995 年 100Mbps 的 快速 以 太 网 标准 下 EE 802.3u 正式 颁布 ,这 是 基于 10Base-T 和 10Base-F 
技术 ， 在 基本 布线 系统 不 变 的 情况 下 开发 的 高 速 局 域 网 标准 。 快 速 以 太 网 使 用 的 传输 介质 如 表 
4-9 所 示 , 其 中 多 模 光 纤 的 芯 线 直径 为 62.Shm, 包 层 直 径 为 12Shm; 单 模 光纤 的 芯 线 直径 为 8hm， 
包 层 直径 也 是 12Shm。 


表 4-9 快速 以 太 网 物理 层 规范 


标 准 传输 介质 特性 阻抗 最 大 段 长 
| 两 对 5 类 ur jl | 
100Base-TX 100m 
ee 一 对 多 模 光 纤 MME 2km 
8aSe- 

一 对 单 模 光纤 SMF 40km 
100Base-T4 四 对 3 类 UTP 100m 
100Base-T2 100m 


快速 以 太 网 使 用 的 集线器 可 以 是 共享 型 或 交换 型 ,也 可 以 通过 堆 营 多 个 集线器 来 扩大 端口 
数量 。 互 相连 接 的 集线器 起 到 了 中 继 的 作用 ， 扩 大 了 网 络 的 跨 距 。 快 速 以 太 网 使 用 的 中 继 器 分 
为 两 类 ,其 中 , I 类 中 继 器 中 包含 了 编码 / 译 码 功能 , 它 的 延迟 比 卫 类 中 继 器 大 ,如 图 4-19 所 示 。 


人 
收发 器 收发 器 
(a) I 类 中 继 器 (b) I 类 中 继 器 


图 4-19 I 类 和 工 类 中 继 器 
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与 10Mbps 以 太 网 一 样 ， 快 速 以 太 网 也 要 考虑 冲突 时 楷 和 最 小 帧 长 问题 。 快 速 以 太 网 的 数 
据 速率 提高 了 10 倍 ， 而 最 小 帧 长 没有 变 ， 所 以 冲突 时 档 缩 小 为 5.12hs， 有 
slot =2S/0.7C+ Zpy (4.6) 
其 中 ，S$ 表 示 网 络 的 跨 距 ，0.7C 是 0.7 倍 光速 ，ty 是 工作 站 物理 层 时 延 。 由 于 进出 发 送 站 都 会 
产生 时 延 ， 所 以 取 其 两 倍 值 。 
按照 式 (4.6)， 可 得 到 计算 快速 以 太 网 跨 距 的 公式 


S$=0.35C(L%in /R—2t) (4.7) 
按照 这 个 公式 ， 结 合 表 4-10 中 关于 段 长 的 规定 ， 可 以 得 到 图 4-20 所 示 的 各 种 连接 方式 。 
[Ej 100m ' 412m 
DTE DTE DTE DTE 
攻 272m | 
mT 让 
DTE DIE DTE DTE 
医 320m | 
100m 1 100m | 
DTE DTE DTE DTE 
| 228m | 
100m 1 Sm 1 100m | 1I 1I 
DTE DTE DTE 
(a) 双 绞 线 (b) 光缆 
100m 站 1608m 
DTE DTE 
100m 208sm 
I 
DTE DTE 
100m Sm 1112m 
1 I 
DTE DTE 
(c) 混合 介质 


图 4-20 快速 以 太 网 系统 跨 距 


在 IEEE 802.3u 的 补充 条 款 中 说 明了 10Mbps 和 100Mbps 兼容 的 自动 协商 功能 。 当 系统 加 
电 后 网 卡 就 开始 发 送 快速 链 路 脉冲 〈Fast Link Pulse，FLP)， 这 是 33 位 二 进 制 脉冲 串 ， 前 17 
位 为 同步 信号 , 后 16 位 表示 自动 协商 的 最 佳 工作 模式 信息 。 原来 的 10Mbps 网 卡 发 出 的 是 正常 
链 路 脉冲 〈Normal Link Pulse，NLP)， 自 适应 网 卡 也 能 识别 这 种 脉冲 ， 从 而 决定 适当 的 发 送 
速率 。 


第 4 章 局 域 网 与 城 域 网 


2. 干 兆 以 太 网 


1000Mbps 以 太 网 的 传输 速率 更 快 , 作为 主干 网 提供 无 阻塞 的 数据 传输 服务 。1996 年 3 月 ， 
IEEE 成 立 了 802.3z 工作 组 , 开始 制定 1000Mbps 以 太 网 标准 。 后 来 又 成 立 了 有 100 多 家 公司 参 
加 的 千 兆 以 太 网 联盟 (Gibabit Ethemet Alliance，GEA)， 支 持 IEEE 802.3z 工作 组 的 各 项 活动 。 
1998 年 6 月 公布 的 IEEE 802.3z 和 1999 年 6 月 公布 的 IEEE 802.3ab 已 经 成 为 千 兆 以 太 网 的 正 
式 标准 。 它 们 规定 了 4 种 传输 介质 ， 如 表 4-10 所 示 。 


表 4-10 千 兆 以 太 网 标准 


标准 特点 
光纤 (短波 770~860nm) 多 模 光纤 (50，62.5pm) 


单 模 (10nm) 或 多 模 光 纤 (50， 
-LX | 光纤 (长 波 1270 一 1355nm) 
IEEE 8023z | oo 62.5hm) 


IEEE 802.3ab | 1000Base-T 二 一 5 类 无 屏蔽 双 绞 线 ，8B/10B 编码 


实现 千 兆 数据 速率 需要 采用 新 的 数据 处 理 技术 。 首 先是 最 小 帧 长 需要 扩展 ， 以 便 在 半 双 工 
的 情况 下 增加 跨 距 。 另 外 ，802.3z 还 定义 了 一 种 帧 突 发 方式 〈frame bursting)， 使 得 一 个 站 可 以 
连续 发 送 多 个 帧 。 最 后 ， 物 理 层 编码 也 采用 了 与 10Mbps 不 同 的 编码 方法 ， 即 4B/5B 或 8B/9B 
编码 法 
后 兆 以 太 网 标准 适用 于 已 安装 的 综合 布线 基础 之 上 ， 以 保护 用 户 的 投资 。 


3， 万 兆 以 太 网 


2002 年 6 月 ，IEEE 802.3ae 标准 发 布 ， 支 持 10Gbps 的 传输 速率 ， 规 定 的 几 种 传输 介质 如 
表 4-11 所 示 。 传统 以 太 网 采用 CSMA/CD 协议 ， 即 带 冲突 检测 的 载波 监听 多 路 访问 技术 。 与 千 
兆 以 太 网 一 样 ， 万 兆 以 太 网 基本 应 用 于 点 到 点 线路 ， 不 再 共享 带宽 ， 没 有 冲突 检测 ， 载 波 监听 
和 多 路 访问 技术 也 不 再 重要 。 千 兆 以 太 网 和 万 兆 以 太 网 采用 与 传统 以 太 网 同样 的 帧 结构 。 


表 4-11 IEEE 802.3ae 万 兆 以 太 网 标准 


名 


10GBase-S (Short) 


称 


| 50um 的 多 模 光 纤 
| 62.5hm 的 多 模 光纤 


850nm 串 行 


10GBase-L (Long) 
10GBase-E (Extended) 


1310nm 串 行 
1 550nm 串 行 


ew 
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名 称 


| 单 模 光 纤 
10GBase-LX4 | sohm 的 多 模 光 纤 
62.5Shm 的 多 模 光 纤 


1 310nm 
4X2.5Gbps 
波 分 多 路 复 用 (WDM) 


4.3.6 ”虚拟 局 域 网 


虚拟 局 域 网 (Virtual Local Area Network，VLAN) 是 根据 管理 功能 、 组 织 机 构 或 应 用 类 型 
对 交换 局 域 网 进行 分 段 而 形成 的 逻辑 网 络 。 虚 拟 局 域 网 与 物理 局 域 网 具有 同样 的 属性 ， 然 而 其 
中 的 工作 站 可 以 不 属于 同一 个 物理 网 段 。 任 何 交换 端口 都 可 以 分 配给 某 个 VLAN， 属 于 同一 个 
VLAN 的 所 有 端口 构成 一 个 广播 域 。 每 一 个 VLAN 都 是 一 个 逻辑 网 络 ， 发 往 VLAN 之 外 的 分 
组 必须 通过 路 由 器 进行 转发 。 图 4-21 为 一 个 VLAN 设计 的 实例 ， 其 中 为 每 个 部 门 定 义 了 一 个 
VLAN，3 个 VLAN 分 布 在 不 同位 置 的 3 台 交换 机 上 。 


财务 部 
VLAN 


工程 部 市 场 部 
VLAN VLAN 


路 由 器 


= 


快速 以 太 网 


图 4-21 把 交换 局 域 网 划分 成 VLAN 


在 交换 机 上 实现 VLAN， 可 以 采用 静态 的 或 动态 的 方法 。 
(1) 静态 分 配 VLAN。 为 交换 机 的 各 个 端口 指定 所 属 的 VLAN。 这 种 基于 端口 的 划分 方法 
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是 把 各 个 端口 固定 地 分 配给 不 同 的 VLAN， 任 何 连 接 到 交换 机 的 设备 都 属于 接 入 端口 所 在 的 
VLAN。 

(2) 动态 分 配 VLAN。 动态 VLAN 通过 网 络 管理 软件 包 来 创建 ， 可 以 根据 设备 的 MAC 地 
址 、 网络 层 协 议 、 网络 层 地 址 、IP 广播 域 或 管理 策略 来 划分 VLAN。 根据 MAC 地 址 划分 VLAN 
的 方法 应 用 最 多 ， 一 般 交换 机 都 支持 这 种 方法 。 无 论 一 台 设 备 连 接 到 交换 网 络 的 什么 地 方 ， 接 
入 交换 机 根据 设备 的 MAC 地 址 就 可 以 确定 该 设备 的 VLAN 成 员 身份 。 这 种 方法 使 得 用 户 可 以 
在 交换 网 络 中 改变 接 入 位 置 ， 而 仍 能 访问 所 属 的 VLAN。 但 是 ， 当 用 户 数量 很 多 时 ， 对 每 个 用 
户 设 备 分 配 VLAN 的 工作 量 是 很 大 的 管理 负担 。 

把 物理 网 络 划 分 成 VLAN 的 好 处 如 下 。 

(1) 控制 网 络 流量 。 一 个 VLAN 内 部 的 通信 (包括 广播 通信 ) 不 会 转发 到 其 他 VLAN 中 
去 ， 从 而 有 助 于 控制 广播 风暴 ， 减 小 冲突 域 ， 提 高 网 络 带宽 的 利用 率 。 

(2) 提高 网 络 的 安全 性 。 可 以 通过 配置 VLAN 之 间 的 路 由 来 提供 广播 过 滤 、 安 全 和 流量 控 
制 等 功能 。 不 同 VLAN 之 间 的 通信 受到 限制 ， 提 高 了 企业 网 络 的 安全 性 。 

(3) 灵活 的 网 络 管理 。VLAN 机 制 使 得 工作 组 可 以 突破 地 理 位 置 的 限制 而 根据 管理 功能 来 
划分 。 如 果 根 据 MAC 地 址 划分 VLAN， 用 户 可 以 在 任何 地 方 接 入 交换 网 络 ， 实 现 移动 办 公 。 

在 划分 成 VLAN 的 交换 网 络 中 ,交换 机 端口 之 间 的 连接 分 为 两 种 : 接 入 链 路 连接 (Access- 
Link Connection》 和 中 继 链 路 连接 (Trunk-Link Connection) 。 接 入 链 路 只 能 连接 具有 标准 以 太 
网 卡 的 设备 ， 也 只 能 传送 属于 单个 VLAN 的 数据 包 。 任 何 连 接 到 接 入 链 路 的 设备 都 属于 同一 个 
广播 域 ， 这 意味 着 ， 如 果 有 10 个 用 户 连 接 到 一 个 集线器 ， 而 集线器 被 插入 到 交换 机 的 接 入 链 
路 端口 ， 则 这 10 个 用 户 都 属于 该 端口 规定 的 VLAN。 

中 继 链 路 是 在 一 条 物理 连接 上 生成 多 个 逻辑 连接 ， 每 个 逻辑 连接 属于 一 个 VLAN。 在 进入 
中 继 端 口 时 ,交换 机 在 数据 包 中 加 入 VLAN 标记 。 这样 ,在 中 继 链 路 另 一 端的 交换 机 就 不 仅 要 
根据 目标 地 址 ， 而 且 要 根据 数据 包 所 属 的 VLAN 进行 转发 决策 。 在 图 4-22 中 用 不 同 的 颜色 表 
示 不 同 VLAN 的 帧 ， 这 些 帧 共享 同一 条 中 继 链 路 。 


Blue Blue 
Red Red 
cm ™ 
Green Green 


图 4-22 接 入 链 路 和 中 继 链 路 


为 了 与 接 入 链 路 设备 兼容 , 在 数据 包 进 入 接 入 链 路 连接 的 设备 时 , 交换 机 要 删除 VLAN 标 
记 ， 恢 复原 来 的 帧 结构 。 添 加 和 删除 VLAN 标记 的 过 程 是 由 交换 机 中 的 专用 硬件 自动 实现 的 ， 
处 理 速度 很 快 ， 不 会 引入 太 大 的 延迟 。 从 用 户 角度 看 ， 数 据 源 产 生 标准 的 以 太 帧 ， 目 标 接收 的 
也 是 标准 的 以 太 帧 ，VLAN 标记 对 用 户 是 透明 的 。 
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IEEE 802.1q 定义 了 VLAN 帧 标记 的 格式 , 在 原来 的 以 太 帧 中 增加 了 4 个 字 节 的 标记 (Tag) 
字段 ， 如 图 4-23 所 示 。 其 中 ,标记 控制 信息 (Tag Control Information，TCI) 包含 Priority、CFI 
和 VID 3 个 部 分 ， 各 个 字段 的 含义 如 表 4-12 所 示 。 


类 型 / | 
DA DA T FCS 
| 本 本 数据 
6 6 7 <=-1500 4 位 
一 “ws 
一 AR 
ye | 一 标记 控制 信息 TC[ 二 ~ 一 | 
| TPID Priority CFI VID | 
16 3 1 12 位 


图 4-23 ”802.1q 帧 格式 


表 4-12 802.1q 帧 标记 


标记 协议 标识 符 (Tag Protocol Identifier), 设 定 为 0x8100, 表示 该 帧 
标记 

提供 8 个 优先 级 (由 802.1q 定义 )。 当 有 多 个 帧 等 待 发 送 时 ， 按 优先 级 发 送 数 
据 包 

规范 格式 指示 (Canonical Format Indicator)，0 表示 以 太 网 ，1 表示 FDDI 和 
令 牌 环 网 。 这 一 位 在 以 太 网 与 FDDI 和 令 牌 环 网 交换 数据 帧 时 使 用 
VLAN 标识 符 (0 一 4095), 其 中 VID 0 用 于 识别 优先 级 ,VID 4095 保留 未 用 ， 
所 以 最 多 可 配置 4094 个 VLAN 


i je 含 802.1q 


Priority 法 


CFI 1 


4.4 ”局 域 网 互 连 


局 域 网 通过 网 桥 互 连 。IEEE 802 标准 中 有 两 种 关于 网 桥 的 规范 : 一 种 是 802.1d 定义 的 透 
明 网 桥 ， 另 一 种 是 802.5 标准 中 定义 的 源 路 由 网 桥 。 本 节 首 先 介 绍 网 桥 协议 的 体系 结构 ， 然 后 
分 别 介绍 两 种 IEEE 802 网 桥 的 原理 。 


4.4.1 网 桥 协 议 的 体系 结构 


在 IEE 802 体系 结构 中 ， 站 地 址 是 由 MAC 子 层 协议 说 明 的， 网 桥 在 MAC 子 层 起 中 继 作 
用 。 图 4-24 表示 了 由 一 个 网 桥 连接 两 个 LAN 的 情况 ， 这 两 个 LAN 运行 相同 的 MAC 和 LLC 
协议 。 当 MAC 帧 的 目标 地 址 和 源 地 址 属于 不 同 的 LAN 时 ， 该 帧 被 网 桥 捕获 、 和 暂时 缓冲 ,然后 
传送 到 另 一 个 LAN。 当 两 个 站 之 间 有 通信 时 ， 两 个 站 中 的 对 等 LLC 实体 之 间 就 有 对 话 ， 但 是 
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网 桥 不 需要 知道 LLC 地 址 ， 只 是 传输 MAC 帧 。 


用 户 tl t8 用 户 t,t8 | 数据 
LLC 降 洒 LLC 
MAC MAC MAC 也,t7| LLCH | 数据 
[PHY |3 M4 PHY | PHY 3} 区 | pHY 
(LAN) NAN 43, t4, 15, 6| MAC-H [LLCH | 数据 | MAC-T 
(a) 网 桥 协议 结构 (b) 网 桥 传输 的 帧 


图 4-24 用 网 桥 连 接 两 个 LAN 


图 4-24 (b) 表示 网 桥 传输 的 数据 帧 。 数 据 由 LLC 用 户 提 供 ，LLC 实体 对 用 户 数据 附加 上 
帧 头 后 传送 给 本 地 的 MAC 实体 ，MAC 实体 再 加 上 MAC 帧 头 和 帧 尾 ， 从 而 形成 MAC 帧 。 由 
于 MAC 帧 头 中 包含 了 目标 站 地 址 ,所 以 网 桥 可 以 识别 MAC 帧 的 传输 方向 。 网 桥 并 不 剥 掉 MAC 
帧 头 和 帧 尾 , 它 只 是 把 MAC 帧 完整 地 传送 到 目标 LAN。 当 MAC 帧 到 达 目 标志 AN 后 才 可 能 被 
目标 站 捕获 。 

MAC 中 继 桥 的 概念 并 不 限于 用 一 个 网 桥 连接 两 个 邻近 的 LAN。 如 果 两 个 LAN 相距 较 远 ， 
可 以 用 两 个 网 桥 分 别 连接 一 个 LAN， 两 个 网 桥 之 间 再 用 通信 线路 相连 。 图 4-25 表示 两 个 网 桥 
之 间 用 点 对 点 链 路 连接 的 情况 ， 当 一 个 网 桥 捕获 了 目标 地 址 为 远 端 LAN 的 帧 时 ， 就 加 上 链 路 
层 〈 例 如 HDLC) 的 帧 头 和 帧 尾 ， 并 把 它 发 送 到 远 端 的 另 一 个 网 桥 ， 目 标 网 桥 剥 掉 链 路 层 字 段 
使 其 恢复 为 原来 的 MAC 帧 ， 这 样 ，MAC 帧 可 最 后 到 达 目 标 站 。 


用 户 | ， 用 户 
LIC | 。 网 桥 网 桥 Be 
MAC 人 t4 MMA! ink| (s ee A t6 ~ 一 t7 2 
PHY LAN PHY | PHY | PHY | PHY CLAN) 
(a) 体系 结构 
tl t9 数据 
t2,1t8 LLC-H | 数据 


et [MACH[LLCH| 数据 | MAcT | 


6| LinkH [MAC-H|LLCH| 数据 | MAC-T| LinkT 
(b) 网 桥 传送 的 帧 


图 4-25 ”远程 网 桥 通过 点 对 点 线路 相连 


两 个 远程 网 桥 之 间 的 通信 设施 也 可 以 是 其 他 网 络 ， 例 如 广 域 分 组 交换 网 ， 如 图 4-26 所 示 。 


国医 
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在 这 种 情况 下 ， 网 桥 仍 然 是 起 到 MAC 帧 中 继 的 作用 ， 但 它 的 结构 更 复杂 。 假 定 两 个 网 桥 之 问 
是 通过 X.25 虚 电 路 连接 ， 并 且 两 个 端 系统 之 间 建 立 了 直接 的 逻辑 关系 ， 没 有 其 他 LLC 实体 ， 
这 样 ，X.25 分 组 层 工作 于 802 LLC 层 之 下 。 为 了 使 MAC 帧 能 完整 地 在 两 个 端 系统 之 间 传 送 ， 
源 端 网 桥接 收 到 MAC 帧 后 ， 要 给 它 附 加 上 X.25 分 组 头 和 X.25 数据 链 路 层 的 帧 头 和 帧 尾 ， 然 
后 发 送 给 直接 相连 的 DCE。 这 种 X.25 数据 链 路 帧 在 广域网 中 传播 ， 到 达 目 标 网 桥 并 剥 掉 X.25 
字段 ， 恢 复 为 原来 的 MAC 帧 ， 然 后 发 送 给 目标 站 。 


三 
X253 re 
X253 MAC 
X25-1| PHY CS PHY 


(a) 体系 结构 

tl, tl2 [ 数据] 

t,tll LLCH | 数据 

{3, (4, 19, t10 [MACH [LICH [ 数据 | MACT 

{5, t8 X.25-H |MACH [LLCH [数据 | MACIT 

16, t7[ Link-H | X25-H |MAC-HICLCH| 数据 | MACT| LinkT | 
《b) 网 桥 传送 的 帧 


图 4-26 ”两 个 网 桥 通过 X.25 网 络 相连 


在 简单 的 情况 下 《〈 例 如， 一 个 网 桥 连 接 两 个 LAN)， 网 桥 的 工作 只 是 根据 MAC 地 址 决定 
是 否 转发 帧 ， 但 是 在 更 复杂 的 情况 下 ， 网 桥 必须 具有 路 由 选择 的 功能 。 例 如 在 图 4-27 中 ， 假 定 
站 1 给 站 6 发 送 一 个 帧 ， 这 个 帧 同时 被 网 桥 101 和 102 捕获 ， 而 这 两 个 网 桥 直接 相连 的 LAN 
都 不 含 目 标 站 。 这 时 网 桥 必须 做 出 决定 是 否 转发 这 个 帧 ， 使 其 最 后 能 到 达 站 6。 显 然 ， 网 桥 102 
应 该 做 这 个 工作 ， 把 收 到 的 帧 转发 到 LAN C， 然 后 再 经 网 桥 104 转发 到 目标 站 。 可 见 ， 网 桥 要 
有 做 出 路 由 决策 的 能 力 ， 特 别 是 当 一 个 网 桥 连接 两 个 以 上 的 网 络 时 ， 不 仅 要 决定 是 否 转发 ， 还 
要 决定 转发 到 哪个 端口 上 去 。 

网 桥 的 路 由 选择 算法 可 能 很 复杂 。 在 图 4-28 中 ， 网 桥 105 直接 连接 LANA 和 LANE， 从 
而 构成 了 从 LAN A 到 LANE 之 间 的 元 余 通 路 。 如 果 站 1 向 站 5 发 送 一 个 帧 ， 该 帧 既 可 以 经 网 
桥 101 和 网 桥 103 到 达 站 5， 也 可 以 只 经 过 网 桥 105 直接 到 达 站 5。 在 实际 通信 过 程 中 ， 可 以 
根据 网 络 的 交通 情况 决定 传输 路 线 。 另 外 ， 当 网 络 配置 改变 时 《例如 网 桥 105 失效 )， 网 桥 的 
路 由 选择 算法 也 要 随 之 改变 。 考 虑 了 这 些 因 素 后 ， 网 桥 的 路 由 选择 功能 就 与 网 络 层 的 路 由 选择 
功能 类 似 了 。 在 最 复杂 的 情况 下 ， 所 有 网 络 层 的 路 由 技术 在 网 桥 中 都 能 用 得 上 。 当 然 ， 一 般 由 
网 桥 互 连 局 域 网 的 情况 远 没有 广域网 中 的 网 络 层 复杂 , 所 以 有 必要 研究 更 适合 于 网 桥 的 路 由 技术 。 
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站 1 站 2 站 3 站 1 | 闸 站 3 
LANA LANA | | 
| | 
网 桥 101 | | 网 桥 102 网 桥 101 网 桥 105 网 桥 102 
LANB LANC LANB _|[ LaNc 
[i 网 株 I04 Ez [matiios | 
LAND | 中 LANE LANF LAND LANE LANF 
图 4-27 由 网 桥 互 连 的 多 个 LAN 图 4-28 ”有 宛 余 通 路 的 互 连 


为 了 对 网 桥 的 路 由 选择 提供 支持 ，MAC 层 地址 最 好 是 分 为 两 部 分 : 网 络 地 址 部 分 (标识 
因特网 中 唯一 的 LAN) 和 站 地 址 部 分 〈 标 识 某 LAN 中 唯一 的 工作 站 )。IEEE 802.5 标准 建议 : 
16 位 的 MAC 地 址 应 分 成 7 位 的 LAN 编号 和 8 位 的 工作 站 编号 ， 而 48 位 的 MAC 地 址 应 分 成 
14 位 的 LAN 编号 和 32 位 的 工作 站 编号 ， 其 余 位 用 于 区 分 组 地 址 / 单 地 址 以 及 局 部 地 址 /全 局 
地 址 。 

在 网 桥 中 使 用 的 路 由 选择 技术 可 以 是 固定 路 由 技术 。 像 网 络 层 使 用 的 那样 ， 每 个 网 桥 中 存 
储 一 张 固定 路 由 表 ， 网 桥 根据 目标 站 地 址 查 表 选取 转发 的 方向 ， 选 取 的 原则 可 以 是 某 种 既定 的 
最 短 通 路 算法 。 当 然 ， 在 网 络 配置 改变 时 ， 路 由 表 要 重新 计算 。 

固定 式 路 由 策略 适合 小 型 和 配置 稳定 的 互连网 络 。 除 此 之 外 ,IEEE 802 委员 会 开发 了 两 种 
路 由 策略 规范 : IEEE 802.1d 标准 是 基于 生成 树 算法 的 ， 可 实现 透明 网 桥 ; 伴随 IEEE 802.5 标 
准 的 是 源 路 由 网 桥 规范 。 下 面 分 别 介绍 这 两 种 网 桥 标准 。 


4.4.2 ”生成 峙 网 桥 
生成 树 〈Spanning Tree) 网 桥 是 一 种 完全 透明 的 网 桥 ， 这 种 网 桥 插入 电缆 后 就 可 以 自动 完 


成 路 由 选择 的 功能 ， 无 须 由 用 户 装 入 路 由 表 或 设置 参数 ， 网 桥 的 功能 是 自己 学 习 获得 的 。 以 下 
从 帧 转发 、 地 址 学 习 和 环 路 分 解 3 个 方面 讲述 这 种 网 桥 的 工作 原理 。 


1. 帧 转发 

网 桥 为 了 能 够 决定 是 否 转发 一 个 帧 ， 必 须 为 每 个 转发 端口 保存 一 个 转发 数据 库 ， 数 据 库 中 
保存 着 必须 通过 该 端口 转发 的 所 有 站 的 地 址 。 可 以 通过 图 4-27 说 明 这 种 转发 机 制 。 图 4-27 中 
的 网 桥 102 把 所 有 互联 网 中 的 站 分 为 两 类 ， 分 别 对 应 它 的 两 个 端口 : 在 LANA、B、D 和 E 上 
的 站 在 网 桥 102 的 LAN A 端口 一 边 , 这 些 站 的 地 址 列 在 一 个 数据 库 中 ; 在 LAN C 和 了 中 的 站 
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在 网 桥 102 的 LAN C 端口 一 边 ， 这 些 站 的 地 址 列 在 另 一 个 数据 库 中 。 当 网 桥 收 到 一 个 帧 时 ， 


就 可 以 根据 目标 地 址 和 这 两 个 数据 库 的 内 容 决定 是 es 
否 把 它 从 一 个 端口 转发 到 另 一 个 端口 。 作 为 一 般 情 网 酉 转发 | 。 收 到 由 


况 ， 假 定 网 桥 从 端口 X 收 到 一 个 MAC 帧 ， 则 它 按 
以 下 算法 进行 路 由 决策 (如 图 4-29 所 示 )。 

(1) 查找 除 和 端口 之 外 的 其 他 转发 数据 库 。 

(2) 如 果 没有 发 现 目标 地 址 ， 则 丢弃 帧 。 

(3) 如 果 在 某 个 端口 了 Y 的 转发 数据 库 中 发 现 目 
标 地 址 ， 并 且 立 端口 没有 阻塞 〈 阻 塞 的 原因 下 面 讲 
述 )， 则 把 收 到 的 MAC 帧 从 立 端口 发 送出 去 ; 车 YY ne 
端口 阻塞 , 则 丢弃 该 帧 。 -一 一 下- 一 


2. 地 址 学 习 


以 上 转发 方案 假定 网 桥 已 经 装 入 了 转发 数据 
库 。 如 果 采 用 静态 路 由 策略 ， 转 发 信息 可 以 预先 装 
入 网 桥 。 然 而 ， 还 有 一 种 更 有 效 的 自动 学 习 机 制 ， 
可 以 使 网 桥 从 无 到 有 地 自行 决定 每 一 个 站 的 转发 方 
向 。 获 取 转 发 信息 的 一 种 简单 方案 利用 了 MAC 帧 
中 的 源 地 址 字段 ， 下 面 简 述 这 种 学 习 机 制 。 

如 果 一 个 MAC 帧 从 某 个 端口 到 达 网 桥 ， 显 然 它 的 源 工作 站 处 于 网 桥 的 入 口 LAN 一 边 ， 
从 帧 的 源 地 址 字段 可 以 知道 该 站 的 地 址 ， 于 是 网 桥 据 此 更 新 相应 端口 的 转发 数据 库 。 为 了 应 付 
网 络 拓扑 结构 的 改变 ， 转 发 数据 库 的 每 一 数据 项 〈 站 地 址 ) 都 配备 一 个 定时 器 。 当 一 个 新 的 数 
据 项 加 入 数据 库 时 ， 定 时 器 复位 ; 如 果 定 时 器 超时 ， 则 数据 项 被 删除 ， 从 而 相应 传播 方向 的 信 
息 失 效 。 每 当 接收 到 一 个 MAC 帧 时 ， 网 桥 就 取出 源 地 址 字段 并 查看 该 地 址 是 否 在 数据 库 中 ， 
如 果 已 在 数据 库 中 ， 则 对 应 的 定时 器 复位 ， 在 方向 改变 时 可 能 还 要 更 新 该 数据 项 ， 如 果 地 址 不 
在 数据 库 中 ， 则 生成 一 个 新 的 数据 项 并 置 位 其 定时 器 。 

以 上 讨论 假定 在 数据 库 中 直接 存储 站 地 址 。 如 果 采 用 两 级 地 址 结构 (LAN 编号 .站 编号 )， 
则 数据 库 中 只 需 存 储 LAN 地 址 部 分 就 可 以 了 ， 这 样 可 以 节省 网 桥 的 存储 空间 。 

3. 环 路 分 解 一 一 生成 树 算法 

以 上 讨论 的 学 习 算 法 适用 于 因特网 为 树 型 拓扑 结构 的 情况 ， 即 网 络 中 没有 环 路 ,任意 两 个 
站 之 间 只 有 唯一 通路 ， 当 因特网 络 中 出 现 环 路 时 这 种 方法 就 失效 了 。 下 面 通 过 图 4-30 说 明 问题 
是 怎样 产生 的 。 假 设 在 时 刻 ， 站 A 向 站 B 发 送 了 一 个 帧 。 每 一 个 网 桥 都 捕获 了 这 个 帧 并 且 在 
各 自 的 数据 库 中 把 站 A 地 址 记录 在 LAN X 一边， 随 之 把 该 帧 发 往 LAN Y。 在 稍 后 某 个 时 刻 右 


把 源 加 入 数据 
库 设置 转发 方 
向 重 置 定时 器 


更 新 转发 方 
向 重 置 定时 器 


图 4-29 ”网 桥 转发 和 学 习 
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或 (可 能 不 相等 )， 网 桥 a 和 b 又 收 到 了 源 地 址 为 A、 目 标 地 址 为 B 的 MAC 帧 ， 但 这 一 次 是 
从 LAN Y 的 方向 传 来 的 ， 这 时 两 个 网 桥 又 要 更 新 各 自 的 转发 数据 库 ， 把 站 A 的 地 址 记 在 LAN Y 
一 边 。 

可 见 ， 由 环 路 引起 的 循环 转发 破坏 了 网 桥 的 数据 
库 ， 使 得 网 桥 无 法 获得 正确 的 转发 信息 。 克 服 这 个 问 
题 的 思路 就 是 要 设法 消除 环 路 ， 从 而 避免 出 现 互 相 转 
发 的 情况 。 幸 好 ， 图 论 中 有 一 种 提取 连通 图 生成 树 的 
简单 算法 ， 可 以 用 于 因特网 络 消除 其 中 的 环 路 。 在 因 网 桥 a 网 桥 b 
特 网 络 中 , 每 一 个 LAN 对 应 于 连通 图 的 一 个 顶点 , 而 ”LANY 
每 一 个 网 桥 对 应 于 连通 图 的 一 个 边 。 删 去 连通 图 的 一 


站 A 
LANX | 


个 边 等 价 于 移 去 一 个 网 桥 ， 凡 是 构成 回路 的 网 桥 都 可 站 B 
以 逐个 移 去 ， 最 后 得 到 的 生成 树 不 含 回路 ， 但 又 不 改 
变 网 络 的 连通 性 。 需 要 一 种 算法 ， 使 得 各 个 网 桥 之 间 图 4-30 有 环 路 的 因特网 络 


通过 交换 信息 自动 阻塞 一 些 传输 端口 ， 从 而 破坏 所 有 
的 环 路 并 推导 出 因特网 络 的 生成 树 。 这 种 算法 应 该 是 动态 的 ， 即 当 网 络 拓扑 结构 改变 时 ， 网 桥 
能 觉察 到 这 种 变化 ， 并 随即 导出 新 的 生成 树 。 假 定 : 

(1) 每 一 个 网 桥 有 唯一 的 MAC 地 址 和 唯一 的 优先 级 ， 地 址 和 优先 级 构成 网 桥 的 标识 符 。 

(2) 有 一 个 特殊 的 地 址 用 于 标识 所 有 网 桥 。 

(3) 网 桥 的 每 一 个 端口 有 唯一 的 标识 符 ， 该 标识 符 只 在 网 桥 内 部 有 效 。 

另外 ， 要 建立 以 下 概念 。 

。 ” 根 桥 : 即 作 为 生成 树 树 根 的 网 桥 ， 例 如 可 选择 地 址 值 最 小 的 网 桥 作为 根 桥 。 

。 通路 费用 : 为 网 桥 的 每 一 个 端口 指定 一 个 通路 费用 ， 该 费用 表示 通过 那个 端口 向 其 连 
接 的 LAN 传送 一 个 帧 的 费用 。 两 个 站 之 间 的 通路 可 能 要 经 过 多 个 网 桥 ， 这 些 网 桥 的 
有 关 端 口 的 费用 相 加 就 构成 了 两 站 之 问 通路 的 费用 。 例 如 ， 假 定 沿路 每 个 网 桥 端口 的 
费用 为 1， 则 两 个 站 之 间 通 路 的 费用 就 是 经 过 的 网 桥 数 。 另 外 ， 也 可 以 把 网 桥 端口 的 
通路 费用 与 有 关 LAN 的 通信 速率 联系 起 来 〈 一 般 为 反比 关系 )。 

根 通 路 : 每 一 个 网 桥 通 向 根 桥 的 、 费 用 最 小 的 通路 。 

根 端 口 : 每 一 个 网 桥 与 根 通路 相连 接 的 端口 。 

指定 桥 : 每 一 个 LAN 有 一 个 指定 桥 ， 这 是 在 该 LAN 上 提供 最 小 费用 根 通 路 的 网 桥 。 
指定 端口 : 每 一 个 LAN 的 指定 桥 连接 LAN 的 端口 为 指定 端口 。 对 于 直接 连接 根 桥 的 
LAN， 根 桥 就 是 指定 桥 。 该 LAN 连接 根 桥 的 端口 即 为 指定 端口 。 
根据 以 上 建立 的 概念 ， 生 成 树 算法 可 采用 下 面 的 步骤 。 

(1) 确定 一 个 根 桥 。 

(2) 确定 其 他 网 桥 的 根 端口 。 
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(3) 对 每 一 个 LAN 确定 一 个 唯一 的 指定 桥 和 指定 端口 ， 如 果 有 两 个 以 上 网 桥 的 根 通路 费 
用 相同 ， 则 选择 优先 级 最 高 的 网 桥 作为 指定 桥 ; 如 果 指定 桥 有 多 个 端口 连接 LAN， 则 选取 标识 


符 值 最 小 的 端口 为 指定 端 


按照 以 上 算法 ， 直 接连 接 两 个 LAN 的 网 桥 中 只 能 有 一 个 作为 指定 桥 ， 其 他 都 删除 掉 。 这 
就 排除 了 两 个 LAN 之 间 的 任何 环 路 。 同 理 ， 以 上 算法 也 排除 了 多 个 LAN 之 间 的 环 路 ， 但 保持 
了 连通 性 。 

为 了 实现 以 上 算法 , 网 桥 之 间 要 交换 网 桥 协议 数据 单元 。 IEEE 802.1d 定义 了 网 桥 协议 数据 
单元 BPDU 的 格式 ， 如 图 4-31 所 示 。 


Type () Rood BID (8) 
MAge ©) 


图 4-31 网 桥 协 议 数 据 单元 


其 中 的 各 个 字段 解释 如 下 。 


Protocol ID: 协议 标识 ， 恒 为 0。 

Version: 版 本 号 ， 恒 为 0。 

Type: BPDU 类 型 ,分 为 两 种 ， 即 配置 BPDU 和 TCN (Topology Change Notifications) 
BPDU。 

Flags: 标志 ， 表 示 活 动 拓扑 中 的 变化 ， 包 含 在 TCN 中 。 

Root BID: 根 网 桥 ID。 在 会 聚 后 的 网 络 中 ， 所 有 配置 BPDU 中 的 Root BID 都 相同 ， 
由 网 桥 优 先 级 和 MAC 地 址 两 部 分 组 成 。 

Root Path: 根 通路 费用 ， 通 向 根 网 桥 的 费用 。 

Sender BID: 发 送 BPDU 的 网 桥 ID。 

Port ID: 端口 DD。 

M-Age (Message Age): 报 文生 命 期 记录 根 网 桥 生 成 BPDU 的 时 间 。 

Max Age: 保存 BPDU 的 最 长 时 间 ， 也 反映 了 拓扑 变化 通知 中 的 网 桥 表 生 存 时 间 。 
Hello Time: 问 询 时 间 ， 指 周期 性 配置 BPDU 的 间隔 时 间 。 

FD (Forward Delay): 转发 延迟 , 用 于 监听 (listening) 和 学 习 (learning) 状态 的 时 间 。 


在 最 初 建立 生成 树 时 ， 最 主要 的 信息 如 下 。 

(1) 发 出 BPDU 的 网 桥 的 标识 符 及 其 端口 标识 符 。 

(2) 认为 可 作为 根 桥 的 网 桥 标识 符 。 

(3) 该 网 桥 的 根 通 路 费用 。 

开始 时 ,每 个 网 桥 都 声明 自己 是 根 桥 并 把 以 上 信息 广播 给 所 有 与 它 相连 的 LAN。 在 每 一 个 
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LAN 上 只 有 一 个 地 址 值 最 小 的 标识 符 ， 该 网 桥 可 坚持 自己 的 声明 ， 其 他 网 桥 则 放弃 声明 ， 并 根 
据 收 到 的 信息 确定 其 根 端口 ， 重 新 计算 根 通路 费用 。 当 这 种 BPDU 在 整个 互连网 络 中 传播 时 ， 
所 有 网 桥 可 最 终 确定 一 个 根 桥 ， 其 他 网 桥 据 此 计算 自己 的 根 端口 和 根 通路 。 在 同一 个 LAN 上 
连接 的 各 个 网 桥 还 需要 根据 各 自 的 根 通路 费用 确定 唯一 的 指定 桥 和 指定 端口 。 显 然 ， 这 个 过 程 
要 求 在 网 桥 之 间 多 次 交换 信息 ， 自 认为 是 根 桥 的 那个 网 桥 不 断 广播 自己 的 声明 。 例 如 在 图 4-32 
(a) 的 网 络 中 ， 通 过 交换 BPDU 导出 生成 树 的 过 程 简 述 如 下 。 


LAN2 


C=10 C5 
网 桥 3 网 桥 4 
| C10 ] C=10 C=5 ] 


LAN3 LAN4 


(a) 网 络 配置 (b) 生成 树 
图 4-32 互连网 络 的 生成 树 


(1) 与 LAN 2 相连 的 3 个 网 桥 1、3 和 4 选 出 网 桥 1 为 根 桥 ， 网 桥 3 把 它 与 LAN 2 相连 的 
端口 确定 为 根 端口 〈 根 通路 费用 为 10)。 类 似 地 ， 网 桥 4 把 它 与 LAN 2 相连 的 端口 确定 为 根 端 
口 〈 根 通路 费用 为 5)。 

(2) 与 LAN 1 相连 的 3 个 网 桥 1、2 和 5 也 选 出 网 桥 1 为 根 桥 ， 网 桥 2 和 5 相应 地 确定 其 
根 通 路 费用 和 根 端口 。 

(3) 与 LAN 5 相连 的 3 个 网 桥 通 过 比较 各 自 的 根 通路 费用 的 优先 级 选 出 网 桥 4 为 指定 网 桥 ， 
其 根 端口 为 指定 端口 。 

其 他 计算 过 程 略 。 最 后 导出 的 生成 树 如 图 4-32 (b) 所 示 。 只 有 指定 网 桥 的 指定 端口 可 转 
发 信息 ， 其 他 网 桥 的 端口 都 必须 阻塞 起 来 。 在 生成 树 建立 起 来 以 后 ， 网 桥 之 间 还 必须 周期 地 交 
换 BPDU， 以 适应 网 络 拓扑 、 通 路 费用 以 及 优先 级 改变 的 情况 。 

1998 年 ，IEEE 发 表 了 802.1w 标准 ， 对 原来 的 生成 树 协议 进行 了 改进 ， 定 义 了 快速 生 
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成 树 协 议 (Rapid Spanning Tree Protocol，RSTP)， 用 于 加 快 生成 树 的 收敛 速度 。 最 新 的 标 
准 IEEE 802.1D-2004 对 RSTP 进行 了 改进 ， 并 作废 了 原来 的 STP 标准 。 原 来 的 生成 树 协议 
一 般 需 要 30 一 50s 才能 响应 网 络 拓扑 的 改变 ， 而 新 的 快速 生成 树 协议 缩短 到 3 倍 Hello 时 
间 默认 为 6s)。 下 面 的 例子 说 明了 RSTP 协议 的 操作 过 程 。 
图 4-33 (a) 是 一 个 局 域 网 互 连 的 例子 ， 这 里 用 方 框 代表 网 桥 ， 其 中 的 数字 代表 网 桥 
ID， 云 块 代表 网 段 。 根 据 选取 规则 ，ID 最 小 的 网 桥 3 被 选 为 根 网 桥 ， 如 图 4-33 (b) 所 示 。 
假定 所 有 网 段 的 传输 费用 为 1, 则 从 网 桥 4 达到 根 网 桥 的 最 短 通路 要 经 过 网 段 ,因而 网 桥 
4 连接 网 段 的 端口 是 根 端口 (RP)， 所 有 网 桥 的 选 定 的 根 端口 如 图 4-33 〈c) 所 示 。 下 一 
步 要 为 每 个 网 段 选择 指定 端口 (DP)。 从 网 段 e 到 达 根 网 桥 的 最 短 通路 要 通过 网 桥 92， 所 
以 网 桥 92 连接 网 段 e 的 端口 为 指定 端口 , 各 个 网 段 的 指定 端口 如 图 4-33 (d) 所 示 。 图 4-33 
(e) 表示 用 生成 树 算 法 计算 出 的 所 有 端口 的 状态 ， 如 果 一 个 活动 端口 既 不 是 根 端口 ， 也 不 
是 指定 端口 ， 则 它 就 被 阻塞 了 。 当 连接 网 桥 24 和 网 段 c 的 链 路 失效 时 ， 生 成 树 算法 重新 计 
算 最 短 通路 ， 网 桥 5 原来 阻塞 的 端口 变 成 了 网 段 了 的 指定 端口 ， 如 图 4-33 (f) 所 示 。 
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图 4-33 RSTP 网 络 的 例子 
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续 图 4-33 
按照 IEEE 802.1d 和 IEEE 802.1t 标准 , 网 段 的 通信 费用 根据 网 络 端口 的 数据 速率 确定 ， 


如 表 4-13 所 示 。 


表 4-13 ”给 定数 据 速率 接口 的 默认 费用 

数据 速率 STP 费用 (802.1t-2001) 

4Mbps 5 00 000 

10Mbps 2 000 000 

16Mbps 1 250 000 

100Mbps 200 000 

1Gbps 20 000 

2Gbps 10 000 

10Gbps 2000 
4.4.3 源 路 由 网 桥 

生成 树 网 桥 的 优点 是 易于 安装 ， 无 须 人 工 输入 路 由 信息 ， 但 是 这 种 网 桥 只 利用 了 网 络 拓扑 

结构 的 一 个 子 集 ， 没 有 最 好 地 利用 带宽 。 所 以 ，802.5 标准 中 给 出 了 另 一 种 网 桥 路 由 策略 一 一 


思想 是 


和 璧 丰 


源 路 由 网 桥 。 源 路 由 网 桥 的 核心 


由 帧 的 发 送 者 显 式 地 指明 路 由 信息 。 路 由 信息 由 网 桥 地 


址 和 LAN 标识 符 的 序列 组 成 ， 包 含 在 帧 头 中 。 每 个 收 到 帧 的 网 桥 根 据 帧 头 中 的 地 址 信息 可 以 
知道 自己 是 否 在 转发 路 径 中 ， 并 可 以 确定 转发 的 方向 。 例 如 在 图 4-34 中 ， 假 设 站 义 向 站 YY 发 
送 一 个 帧 。 该 帧 的 旅行 路 线 可 以 是 LAN 1、 网 桥 B1、LAN 3 和 网 桥 B3; 也 可 以 是 LAN 1、 网 
桥 B2、LAN 4 和 网 桥 B4。 如 果 源 站 义 选 择 了 第 一 条 路 径 ， 并 把 这 个 路 由 信息 放 在 帧 关中 ， 则 
网 桥 B1 和 B3 都 参与 转发 过 程 ， 反 之 ， 网 桥 B2 和 B4 负责 把 该 帧 送 到 目标 站 Y。 
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图 4-34 因特网 络 的 例子 


在 这 种 方案 中 ， 网 桥 无 须 保存 路 由 表 ， 只 须 记 住 自己 的 地 址 标识 符 和 它 所 连接 的 LAN 标识 
符 , 就 可 以 根据 帧 头 中 的 信息 做 出 路 由 决策 。 然而 , 发 送 帧 的 工作 站 必须 知道 网 络 的 拓扑 结构 ， 
了 解 目标 站 的 位 置 ， 才 能 给 出 有 效 的 路 由 信息 。 在 802.5 标准 中 有 各 种 路 由 指示 和 寻 址 模式 用 
于 解决 源 站 获取 路 由 信息 的 问题 。 


1. 路 由 指示 


按照 802.5 的 方案 , 帧 头 中 必须 有 一 个 指示 器 表明 路 由 选择 的 方式 。 路 由 指示 有 以 下 4 种 。 

(1) 室 路 由 指示 。 不 指示 路 由 选择 方式 ， 所 有 网 桥 不 转发 这 种 帧 ， 故 只 能 在 同一 个 LAN 
中 传送 。 

(2) 非 广播 指示 。 这 种 帧 中 包含 了 LAN 标识 符 和 网 桥 地 址 的 序列 。 帧 只 能 沿 着 预定 路 径 
到 达 目 标 站 ， 目 标 站 只 收 到 该 帧 的 一 个 副本 ， 这 种 帧 只 能 在 已 知 路 由 情况 下 发 送 。 

(3) 全 路 广播 指示 。 这 种 帧 通过 所 有 可 能 的 路 径 到 达 所 有 的 LAN， 在 有 些 LAN 上 可 能 
次 出 现 。 所 有 网 桥 都 向 远离 源 端的 方向 转发 这 种 帧 ， 目 标 站 会 收 到 来 自 不 同 路 径 的 多 个 副本 。 

(4) 单 路 径 广 播 指示 。 这 种 帧 沿 着 以 源 节点 为 根 的 生成 树 向 叶子 节点 传播 ， 在 所 有 LAN 
上 出 现 一 次 并 且 只 出 现 一 次 ， 目 标 站 只 收 到 一 个 副本 。 

全 路 广播 帧 不 含 路 由 信息 ， 每 一 个 转发 这 种 帧 的 网 桥 都 把 自己 的 地 址 和 输出 LAN 的 标识 
符 加 在 路 由 信息 字段 中 。 这 样 ， 当 帧 到 达 目 标 站 时 就 含有 完整 的 路 由 信息 了 。 为 了 防止 循环 转 
发 ， 网 桥 要 检查 路 由 信息 字段 ， 如 果 该 字段 中 含有 网 桥 连接 的 LAN， 则 不 会 再 把 该 帧 转发 到 这 
个 LAN 上 去 。 

单 路 径 广播 帧 需要 生成 树 的 支持 ， 生 成 树 可 以 像 上 一 小 节 那 样 自 动产 生生 成 树 ， 也 可 由 手 
工 输入 配置 生成 树 。 只 有 在 生成 树 中 的 网 桥 才 参与 这 种 帧 的 转发 ， 因 而 上 只 有 一 个 副本 到 达 目 标 
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站 。 与 全 路 广播 帧 类 似 ， 这 种 帧 的 路 由 信息 也 是 由 沿路 各 网 桥 自动 加 上 去 的 。 

源 站 可 以 利用 后 两 种 帧 发 现 目标 站 的 地 址 。 例 如 ， 源 站 向 目标 站 发 送 一 个 全 路 广播 帧 ， 目 
标 站 以 非 广播 帧 响应 并 且 对 每 一 条 路 径 来 的 副本 都 给 出 一 个 回答 。 这 样 源 站 就 知道 了 到 达 目 标 
站 的 各 种 路 径 ， 可 选取 一 种 作为 路 由 信息 。 另 外 ， 源 站 也 可 以 向 目标 站 发 送 单 路 径 广播 帧 ， 目 
标 站 以 全 路 广播 帧 响应 ， 这 样 源 站 也 可 以 知道 到 达 目 标的 所 有 路 径 。 


2.， 寻 址 模式 


路 由 指示 和 MAC 寻 址 模式 有 一 定 的 关系 。 寻 址 模式 有 以 下 3 种 。 

(1) 单 播 地 址 :指明 唯一 的 目标 地 址 。 

(2) 组 播 地 址 : 指明 一 组 工作 站 的 地 址 。 

(3) 广播 地 址 : 表示 所 有 站 。 

从 用 户 的 角度 看 ， 由 网 桥 互 连 的 所 有 局 域 网 应 该 像 单个 网 络 一 样 ， 所 以 以 上 3 种 寻 址 方式 
应 在 整个 网 络 范围 内 有 效 。 当 MAC 帧 的 目标 地 址 为 以 上 3 种 寻 址 模式 时 ， 与 4 种 路 由 指示 结 
合 可 产生 不 同 的 接收 效果 ， 如 表 4-14 所 示 。 


表 4-14 不同 寻 址 模式 和 路 由 指示 组 合 的 接收 效果 


示 
le 非 广 播 全 路 广播 单 路 径 广播 


单 地 址 同一 LAN 上 的 目 | 不 在 同一 LAN 上 | 在 任何 LAN 上 的 | 在 任何 LAN 上 的 
标 站 目标 目标 站 目标 站 


< LAN 上 的 一 四 特 网 中 指定 路 和 本 i 
rr en a 
- 四 LAN 上 的 所 再 向 中 指定 友和 | 
Ft a 


从 表 4-14 看 出 ， 如 果 不 说 明 路 由 信息 ， 则 帧 只 能 在 源 站 所 在 的 LAN 内 传播 ; 如 果 说 明了 
路 由 信息 ， 则 帧 可 沿 预定 路 径 到 达 沿 路 各 站 。 在 两 种 广播 方式 中 ， 因 特 网 中 的 任何 站 都 会 收 到 
帧 。 但 若是 用 于 探 询 到 达 目 标 站 的 路 径 ， 则 只 有 目标 给 予 响应 。 全 路 广播 方式 可 能 产生 大 量 的 
重复 帧 ， 从 而 引起 所 谓 的“ 帧 爆炸 ”问题 。 单 路 径 广播 产生 的 重复 帧 少 很 多 ， 但 需要 生成 树 的 
支持 。 


4.5 城 域 网 


城 域 网 比 局 域 网 的 传输 距离 远 ， 能 够 覆盖 整个 城市 范围 。 城 域 网 作为 开放 型 的 综合 平台 ， 
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要 求 能 够 提供 分 组 传输 的 数据 、 语 音 、 图 像 和 视频 等 多 媒体 综合 业务 。 城 域 网 要 比 局 域 网 有 更 
大 的 传输 容量 ， 更 高 的 传输 效率 ， 还 要 有 多 种 接 入 手段 ， 以 满足 不 同 用 户 的 需要 。 这 一 节 讨论 
城 域 网 的 组 网 技术 。 


4.5.1 城 域 以 太 网 


以 太 网 技术 的 成 熟 和 广泛 应 用 推动 了 以 太 网 向 城 域 网 领域 扩展 。 但 是 ， 传 统 的 以 太 网 协议 
是 为 小 范围 的 局 域 网 开发 的 ， 在 应 用 于 更 大 范围 的 城 域 网 时 存在 下 面 一 些 局 限 性 。 

(1) 传输 效率 不 高 。 在 局 域 网 中 采用 的 广播 通信 方式 要 求 发 送 站 占用 全 部 带宽 ， 同 时 以 太 
网 的 党 争 发 送 机 制 要 求 把 传输 距离 限制 在 较 小 的 范围 内 。 城 域 网 通常 可 达 上 百 公 里 的 传输 距 
离 ， 这 种 情况 下 必然 造成 部 分 带宽 的 浪费 。 

(2) 局 域 网 应 付 通 信 故 障 的 机 制 不 完善 ， 没 有 故障 隔离 和 自 愈 能 力 。 在 服务 范围 扩大 到 整 
个 城市 范围 时 ， 网 络 故 障 的 影响 不 可 忽视 ， 自 动 故 障 隔 离 和 快速 网 络 自 愈 变 得 很 重要 。 

(3) 局 域 网 不 能 提供 服务 质量 保证 。 城 域 网 用 户 的 需求 是 多 种 多 样 的， 日 益 发 展 的 多 媒体 
业务 要 求 提供 有 保障 的 服务 质量 (QoS)。 

(4) 局 域 网 的 管理 机 制 不 完善 。 对 于 大 的 城 域 网 ， 要 求 简单 、 易 行 的 OA&M (Operation 
Administration and Management) 功能 。 

城 域 以 太 网 论坛 (Metro Ethernet Forum，MEF) 是 由 网 络 设备 制造 商 和 网 络 运营 商 组 成 的 
非 盘 利 组 织 ， 专 门 从 事 城 域 以 太 网 的 标准 化 工作 。MEF 的 承载 以 太 网 (Carrier Ethernet) 技术 
规范 提出 了 以 下 几 种 业务 类 型 。 

(1) 以 太 网 专用 线 (Ethemet Private Line，EPL )。 在 一 对 用 户 以 太 网 之 间 建 立 固定 速率 的 

(2) 以 太 网 虚拟 专线 (Ethemet Virtual Private Line，EVPL)。 在 一 对 用 户 以 太 网 之 间 通 过 
第 三 层 技术 提供 点 对 点 的 虚拟 以 太 网 连接 ， 支持 承 诺 的 信息 速率 〈CIR)、 峰 值 信息 速率 (PIR) 
和 突 发 式 通信 。 

(3) 以 太 局 域 网 服务 (E-LAN Services)。 由 运营 商 建立 一 个 城 域 以 太 网 ， 在 用 户 以 太 网 之 
间 提供 多 点 对 多 点 的 第 二 层 连接 ， 任 意 两 个 用 户 以 太 网 之 间 都 可 以 通过 城 域 以 太 网 通信 。 

其 中 的 第 3 种 技术 被 认为 是 最 有 前 途 的 解决 方案 。 提供 E-LAN 服务 的 基本 技术 是 802.1q 
的 VLAN 帧 标记 。 假 定 各 个 用 户 的 以 太 网 称 为 C- 网 ， 运 营 商 建立 的 城 域 以 太 网 称 为 S- 网 。 如 
果 不 同 C- 网 中 的 用 户 要 进行 通信 ， 以 太 帧 在 进入 用 户 网 络 接口 (User-Network Interface，UND) 
时 被 插入 一 个 S-VID (Server ProviderVLAN ID) 字段 ， 用 于 标识 S- 网 中 的 传输 服务 ， 而 用 户 
的 VLAN 帧 标记 〈C-VID) 则 保持 不 变 ， 当 以 太 帧 到 达 目 标 C- 网 时 ，S-VID 字段 被 删除 ， 如 图 
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4-35 所 示 ， 这 样 就 解决 了 两 个 用 户 以 太 网 之 间 透 明 的 数据 传输 问题 。 这 种 技术 定义 在 IEEE 
802.1ad 的 运营 商 网 桥 协 议 (Provider Bridge Protocol) 中 ， 被 称 为 Q-in-Q 技术 。 


C-MAC DA 
C-MAC DA C-MAC SA C-MAC DA 
C-MAC SA S-VID C-MAC SA 
C-VID C-VID 国共 | CD 
C-EtherType C-EtherType C-EthcrTypc 
C-Payload C-Payload C-Payload 


S-VID tag added S-VID tag removed 
1 1 


! | 
' 和 ' 
Customer Provider Customer 
network 2 network J network 


UNI UNI 
图 4-35 ”802.1ad 的 帧 格式 


Q-in-Q 实际 上 是 把 用 户 VLAN 媒 套 在 城 域 以 太 网 的 VLAN 中 传送 ， 由 于 其 简单 性 和 有 效 
性 而 得 到 电信 运营 商 的 青睐 。 但 是 这 样 一 来 ， 所 有 用 户 的 MAC 地 址 在 城 域 以 太 网 中 都 是 可 见 
的 , 任何 C- 网 的 改变 都 会 影响 到 S- 网 的 配置 , 增加 了 管理 的 难度 。 而 且 S-VID 字段 只 有 12 位 ， 
只 能 标识 4096 个 不 同 的 传输 服务 ， 网 络 的 可 扩展 性 也 受到 限制 。 从 用 户 角度 看 ， 网 络 用 户 的 
MAC 地 址 都 暴露 在 整个 城 域 以 太 网 中 ， 使 得 网 络 的 安全 性 受到 威胁 。 

为 了 解决 上 述 问题 ，IPEEE 802.1ah 标准 提出 了 运营 商 主干 网 桥 (Provider Backbone Bridge， 
PBB) 协议 。 所 谓 主 干 网 桥 ， 就 是 运营 商 网 络 边界 的 网 桥 ， 通 过 PBB 对 用 户 以 太 帧 再 封装 一 层 
运营 商 的 MAC 帧 头 ,添加 主干 网 目标 地 址 和 源 地 址 (B-DA,B-SA) ,主干 网 VLAN 标识 (B-VID) 
以 及 服务 标识 〈ILSID) 等 字段 ， 如 图 4-36 所 示 。 由 于 用 户 以 太 帧 被 封装 在 主干 网 以 太 帧 中 ， 
所 以 这 种 技术 被 称 为 MAC-in-MAC 技术 。 

按照 802.1ah 协议 ， 主 干 网 与 用 户 网 具有 不 同 的 地 址 空间 。 主 干 网 的 核心 交换 机 只 处 理 通 
常 的 以 太 网 帧 头 ， 仅 主干 网 边界 交换 机 才 具 有 PBB 功能。 这样 ， 用 户 网 和 主干 网 被 PBB 隔离 ， 
使 得 扁平 式 的 以 太 网 变 成 了 层次 化 结构 , 简化 了 网 络 管理 , 保证 了 网 络 安全 。802.1ah 协议 规定 
的 服务 标识 (I-SID) 字段 为 24 位， 可 以 区 分 1600 万 种 不 同 的 服务 ， 使 得 网 络 的 扩展 性 得 以 提 
升 。 由 于 采用 了 二 层 技术 ， 没 有 复杂 的 信 令 机 制 ， 因 此 设备 成 本 和 维护 成 本 较 低 ， 被 认为 是 城 
域 以 太 网 的 最 终 解决 方案 。 目 前 ，IEEE 802.1ah 标准 正在 完善 之 中 。 
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| 服务 ID 


DA= 用 户 的 目标 地 址 。 I-SID= 服 务 ID BDA 

SA= 用 户 的 源 地 址 B-VID= 主 干 网 桥 VID 
VID=VLAN ID B-DA= 主干 网 目标 地 址 

C-VID= 用 户 的 VID B-SA= 主 干 网 源 地 址 类 型 

SVID= 服务 商 的 VID BVID 

类 型 

ISID 

DA DA DA DA 

SA SA SA SA 

类 型 类 型 类 型 类 型 

训 坟 VID SVID SVID 

类 型 类 型 类 型 

Rs CVID CVID 

类 型 类 型 

负载 负载 

(a) 802.1 (b) 802.1q (¢) 802.1ad (d) 802.1ah 


按照 图 4-36 的 封装 层次 ， 组 成 的 城 域 以 太 网 如 图 4-37 所 示 。 


图 4-36 城 域 以 太 网 的 帧 格式 


图 4-37 城 域 以 太 网 
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4.5.2 ”弹性 分 组 环 


弹性 分 组 环 (Resilient Packet Ring，RPR) 是 一 种 采用 环 型 拓扑 的 城 域 网 技术 。2004 年 公 
布 的 IEEE 802.17 标准 定义 了 RPR 的 介质 访问 控制 方法 、 物 理 层 接口 以 及 层 管理 参数 ， 并 提出 
了 用 于 环 路 检测 和 配置 、 失 效 恢复 以 及 带宽 管理 的 一 系列 协议 。802.17 标准 也 定义 了 环 网 与 各 
种 物理 层 的 接口 和 系统 管理 信息 库 。RPR 支持 的 数据 速率 可 达 10Gbps。 

1. 体系 结构 


RPR 的 体系 结构 如 图 4-38 所 示 。MAC 服务 接口 提供 上 层 协议 的 服务 原 语 ，MAC 控制 子 
层 控 制 MAC 数据 通路 ， 维 护 MAC 状态 ， 并 协调 各 种 MAC 功能 的 相互 作用 ;MAC 数据 通路 
子 层 提供 数据 传输 功能 ，MAC 子 层 通 过 PHY 服务 接口 发 送 /接收 分 组 。 


OSIRM RPR 分 层 
高 层 
应 用 层 
表示 层 / 逻辑 链 路 控制 子 层 MAC 服 务 接口 
会 请 有 | / MAC 控 制 
传输 层 | // ”| 公平 性 ] [拓扑 和 保护 ] [ OAM ] 
网 络 层 |/ 3 
数据 链 路 层 | PHY 服 务 接口 
和 本 层 | 物理 层 
传输 介质 


图 4-38 PRP 体系 结构 


RPR 采用 了 双环 结构 ， 由 内 层 的 环 1 (ringlet 1) 和 外 层 的 环 0 (ringlet 0) 组 成 ， 每 个 环 
都 是 单方 向 传送 ， 如 图 4-39 所 示 。 相 邻 工作 站 之 间 的 跨 距 (span) 包含 传送 方向 相反 的 两 条 链 
路 〈link)。 如 果 葵 站 接收 立 站 发 出 的 分 组 ， 则 和 是 立 的 下 游 站 ， 而 立 是 XX 的 上 游 站 。RPR. 
支持 多 达 255 个 工作 站 ， 最 大 环 周 长 为 2000km。 


Span 


links 


一 | 


一 


| 
mg 


7 


f 


SU 


Sl 
ringlet 1 


S2 


S3 


S4 


S5 


ringlet 0 


图 4-39 PRP 拓扑 结构 
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2. 数据 传送 


工作 站 之 间 的 数据 传送 有 单 播 (Unicast)、 单 向 泛 洪 〈Unidirectional flooding)、 双 向 泛 洪 
(Bidirectional fooding) 和 组 播 (Multicast) 等 几 种 方式 。 单 播 传送 如 图 4-40 所 示 。 发 送 站 可 
以 利用 环 1 或 环 0 向 它 的 下 游 站 发 送 分 组 ， 数 据 帧 到 达 目 标 站 时 被 复制 并 从 环 上 和 剥离 〈strip)。 


cab strip strip 1 
(C537 5 5 54 55 w 7 ) Cs 6 57™) 
(a) 环 0 上 的 单 播 (b) 环 1 上 的 单 播 
图 4-40 单 播 传 送 


泛 洪 传播 是 由 一 个 站 向 多 个 目标 站 发 送 分 组 。 单 向 泛 洪 有 两 种 方式 。 数 据 帧 中 有 一 个 历 
(time to live) 字段 ， 发 送 站 将 其 初始 值 设 置 为 目标 站 数 ， 分 组 每 经 过 一 站 ， 胡 减 1， 当 好 为 0 
时 到 达 最 后 一 个 接收 站 ， 分 组 被 复制 并 剥离 ， 如 图 4-41 (a) 所 示 。 另 外 一 种 泛 洪 方式 是 分 组 
返回 发 送 站 时 被 剥离 ， 如 图 4-41 (b) 所 示 。 


copy add copy copy copy “Fp copy copy add copy copy copy copy copy 
= | 二 
[LS Ss2 5 S4 S5 5S6 57 ] (Cs S37 S3 S4 S5 S6 S7 | 
(a) 为 0 时 删除 (b) 返回 发 送 站 删除 


图 4-41 单 向 泛 洪 传播 


双向 泛 洪 要 利用 两 个 环 同 时 传播 ， 在 两 个 方向 发 送 的 分 组 中 设置 不 同 的 也 值 ， 当 分 组 达 
到 最 后 一 个 目标 站 时 被 复制 并 剥离 , 如 图 4-42 (a) 所 示 。 如 果 环 上 有 一 个 分 裂 点 (leave point)， 
这 时 形成 了 开放 环 ， 如 图 4-42 (b) 中 的 垂直 虚线 所 示 ， 在 这 种 情况 下 ， 发 送 站 要 根据 分 裂 点 
的 位 置 设置 两 个 不 同 的 好 的 值 。 


copyl adds copy0 copy0 copy0 copyl copyl copyl adds copy0 copy0 copy0 copy0 copy0 
本 


i | 了 [ra 个 
Sl S2 S3  S4 S5 S6 S57 | UL! S2 本 S3  S4 S5 S6 S57 


(a) 双向 闭合 环 泛 洪 (b) 双向 开放 环 泛 洪 


图 4-42 双向 泛 洪 传播 


组 播 分 组 可 以 利用 单 向 或 双向 泛 洪 方式 发 送 ， 组 播 成 员 由 分 组 头 中 的 目标 地 址 字段 指定 。 
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3. 基本 帧 格式 


PRP 中 传送 的 分 组 有 数据 帧 、 控 制 帧 、 公 平 帧 和 闲置 帧 等 多 种 格式 ， 基 本 帧 格式 如 图 4-43 
所 示 。 如 果 传 送 以 太 帧 , 则 把 以 太 帧 中 的 目标 地 址 和 源 地 址 复制 到 da 和 sa 字段 ， 把 protoco1Tjpe 
字段 设置 为 以 太 帧 的 标识 , 并 把 以 太 帧 中 的 服务 数据 单元 和 CRC 校 验 和 复制 到 serviceDataUnit 
和 jes 字段 ， 如 图 4-44 所 示 。 


1 元 到 达 目 标的 跳 步 数 (time to live) 
1 baseContol 帧 类 型 ， 服 务 类 ， 基 线 控制 
6 da 目标 地 址 (48 位) 
6 sa 源 地 址 
1 MlBase ttl 初始 值 
1 ExtendedControl 扩展 的 洪 泛 和 一 致 性 检查 
2 hec 帧 头 的 CRC 校 验 和 (16 位) 
p> protrocolType 封装 的 协议 类 型 
n serviceDataUnit 上 层 协议 的 服务 数据 单元 
站 fes 协议 类 型 和 服务 数据 单元 

二 - 的 CRC 校 验 和 32 位 ) 


图 4-43 PRP 基本 帧 格式 


SN 
NS 

/ 2 ExtendedControl XY 

目标 地 址 A hec | 目标 地 址 
源 地 址 ProtocolType 源 地 址 
服务 数据 单元 广 一 一 | serviceDutuUnit [一 一 | 服务 数据 单元 
FCS 上 一 一 | 到 三 = 机 FCS 
源 站 发 出 的 以 太 由 | i 


图 4-44 以太 帧 在 RPR 环 上 的 传播 
4. RPR 的 关键 技术 
下 面 介绍 RPR 的 几 个 关键 技术 。 
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(1) 业务 类 型 。RPR 支持 3 种 业务 。A 类 业务 提供 保证 的 带宽 ， 提 供与 传输 距离 无 关 的 很 
小 的 延迟 抖动 ， 适 合 语音 、 视 频 等 电路 仿真 应 用 ; B 类 业务 提供 保证 的 带宽 ， 提 供与 传输 距离 
相关 的 有 限 的 延迟 抖动 ， 可 以 超 信 息 速率 (Excess Information Rate，EIR) 传输 ， 适 合 企业 数 
据 传输 方面 的 应 用 ;，C 类 业务 提供 尽力 而 为 的 服务 ， 适 合用 户 的 因特网 接 入 。 

(2) 空间 复 用 。RPR 的 空间 复 用 协议 〈Spatial Reuse Protocol，SRP) 提供 了 寻 址 、 读 取 分 
组 、 管 理 带宽 和 传播 控制 信息 等 功能 。 在 RPR 环 上 ， 数 据 帧 被 目标 站 从 环 上 和 剥离， 而 不 是 像 其 
他 环 网 那样 返回 源 节点 后 被 剥离 。 这 样 就 使 得 多 个 节点 分 成 多 段 线路 同时 传输 数据 ， 充 分 利用 
了 整个 环 路 的 带宽 。 例 如 ， 环 上 依次 有 A、B、C、D 这 4 个 节点 ， 分 组 经 过 A 节点 到 达 B 节 
点 被 剥离 ， 另 外 的 分 组 可 以 从 B 节点 插入 ， 并 经 C 传送 到 D 节点 ， 从 而 有 效 地 利用 了 环 上 A 
到 D 之 间 的 带宽 。 

(3) 拓扑 发 现 。RPR 拓扑 发 现 是 一 种 周期 性 活动 ， 也 可 以 由 某 个 需要 知道 拓扑 结构 的 节点 
发 起 。 在 拓扑 发 现 过 程 中 ， 拓 扑 发 现 分 组 经 过 的 节点 把 自己 的 标识 符 加 入 到 分 组 中 的 标识 符 队 
列 ， 产 生 一 个 新 的 拓扑 发 现 分 组 ， 这 样 就 形成 了 拓扑 识别 的 累积 效应 。 通 过 拓扑 发 现 ， 节 点 可 
以 选择 最 佳 的 插入 点 ， 使 得 源 节点 到 达 目 的 节点 的 跳 步 数 最 小 。 

(4) 公平 算法 。 公 平 算法 是 一 种 保证 环 上 所 有 站 点 公平 地 分 配 带宽 的 机 制 。 如 果 一 个 节点 
发 生 阻 塞 ， 它 就 会 在 相反 的 环 上 向 上 游 节 点 发 送 一 个 公平 帧 。 上 游 站 点 收 到 这 个 公平 帧 时 就 调 
整 自己 的 发 送 速率 使 其 不 超过 公平 速率 。 一 般 来 说 ， 接 收 到 公平 帧 的 站 点 会 根据 具体 情况 做 出 
两 种 反应 : 若 当前 节点 阻塞 ， 它 就 在 自己 的 当前 速率 和 收 到 的 公平 速率 之 间 选 择 一 个 最 小 值 ， 
并 发 布 给 上 游 节点 ; 若 当前 节点 不 阻塞 ， 就 不 采取 任何 行动 。 

(5) 环 自 愈 保护 。 当 RPR 环 中 出 现 严 重 故障 或 者 发 生 光 纤 中 断后 ， 中 断 处 的 两 个 站 点 就 
会 发 出 控制 帧 ， 沿 光纤 方向 通知 各 个 节点 。 正 要 发 送 数据 的 站 点 接收 到 这 个 消息 后 ， 立 即 把 要 
发 送 的 数据 倒 换 到 另 一 个 方向 的 光纤 上 。 一 般 来 说 ， 在 环保 护 切 换 时 ， 要 按照 业务 流 的 不 同 服 
务 等 级 、 根 据 相 同 目标 一 起 倒 换 原 则 依次 向 反 向 光纤 倒 换 业 务 。RPR 和 SDH 一 样 ， 能 保证 业 
务 的 倒 换 时 间 少 于 50ms。 


第 5 章 无 线 通 信 网 本 


无 线 通 信 网 包括 面向 语音 通信 的 移动 电话 系统 以 及 面向 数据 传输 的 无 线 局 域 网 和 无 线 广 
域 网 。 随 着 无 线 通信 技术 的 发 展 ， 计 算 机 网 络 正在 由 固定 通信 系统 向 移动 通信 系统 发 展 ， 传 统 
的 移动 电话 网 也 向 语音 和 数据 综合 传输 的 移动 通信 网 转变 ， 二 者 的 融合 使 得 Internet 变 得 无 所 
不 在 ， 并 且 更 加 便捷 和 实用 。 本 章 概述 移动 电话 网 的 发 展 历程 ， 并 详 述 无 线 局 域 网 和 无 线 城 域 
网 的 体系 结构 和 实用 技术 ， 最 后 展望 了 新 一 代 移 动 通信 网 的 发 展 方向 。 


5.1 ”移动 通信 


移动 电话 是 最 方便 的 个 人 通信 工具 。 从 第 一 代 〈1G) 到 第 三 代 (3G) 移动 通信 系统 都 是 
针对 话音 通信 设计 的 ， 只 有 未 来 的 4G 才 可 能 与 mtemet 无 颖 地 集成 。 但 是 在 2G 和 3G 时代， 
由 于 笔记 本 电脑 的 迅速 普及 ， 通 过 移动 电话 网 访问 Intemet 已 经 成 为 许多 用 户 的 选择 。 


5.1.1 蜂窝 通信 系统 


1978 年 ， 美 国 贝尔 实验 室 开 发 了 高 级 移动 电话 系统 (Advanced Mobile Phone System， 
AMPS)， 这 是 第 一 个 具有 随时 随地 通信 能 力 的 大 容量 移动 通信 系统 。AMPS 采用 模拟 制式 的 频 
分 双 工 (Frequency Division Duplex, FDD) 技术 , 用 一 对 频率 分 别提 供 上 行 和 下 行 信道 。AMPS 
采用 蜂 窜 技术 解决 了 公用 移动 通信 系统 所 面临 的 大 容量 要 求 与 频谱 资源 限制 的 矛盾 。 到 了 1980 
年 中 期 ， 欧 洲 和 日 本 都 建立 了 第 一 代 蜂 窝 移动 电话 系统 。 

蜂窝 网 络 把 一 个 地 理 区 域 划 分 成 若干 个 称 为 蜂窝 的 小 区 (Cell)。 在 模拟 移动 电话 系统 中 ， 
一 个 话音 连接 要 占用 一 个 单独 的 频率 。 如 果 把 通信 网 络 履 盖 的 地 区 划分 成 一 个 一 个 的 小 区 ， 则 
在 不 同 小 区 之 间 就 可 以 实现 频率 复 用 。 在 图 5-1 中 ， 一 个 基站 覆盖 的 小 区 用 一 个 字母 来 代表 ， 
在 一 个 小 区 内 可 以 用 一 组 频率 提供 一 组 用 户 进行 通话 。 相 邻 小 区 不 能 使 用 相同 的 通信 频率 ， 同 
一 字母 〈 例 如 A) 代表 的 小 区 可 以 使 用 同样 的 通信 频率 ， 使 用 同样 频率 的 小 区 之 间 有 两 个 频率 
不 同 的 小 区 作为 分 隔 。 如 果 要 增加 通信 频率 的 复 用 程度 ， 可 以 把 小 区 划分 得 更 小 。 

当 用 户 移动 到 一 个 小 区 的 边沿 时 , 电话 信号 的 衰减 程度 提醒 相 邻 的 基站 进行 切换 (handoff) 
操作 ， 正 在 通话 的 用 户 就 自动 切换 到 另 一 个 小 区 的 频段 继续 通话 。 切 换 过 程 是 通过 移动 电话 交 
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换 局 (MTSO) 在 相 邻 的 两 个 基站 之 间 进 行 的 ， 不 需要 电话 用 户 的 干预 。 


B 
B G C 


= 
A;AF AD 
Dooo20% 
B 
GAC 
A 
FAD 
E 


图 5-1 蜂窝 通信 系统 的 频率 复 用 


5.1.2 ”第 一 代 移动 通信 系统 


第 二 代 移 动 通信 系统 是 数字 蜂 窜 电话， 在 世界 不 同 的 地 方 采用 了 不 同 的 数字 调制 方式 。 
我 国 最 初 采用 欧洲 电信 的 GSM (Global System for Mobile) 系统 和 美国 高 通 公司 的 码 分 多 址 
CCDMA) 系统 。 

1， 全 球 移动 通信 系统 GSM 


GSM 系统 工作 在 900 一 1800MHz 频段 , 无 线 接口 采用 TDMA 技术 , 提供 话音 和 数据 业务 。 
图 5-2 所 示 为 工作 在 900MHz 频段 的 GSM 系统 的 频带 利用 情况 。 


TDM 帧 
人 信道 
9598MHz TT 
| 基站 到 
一 的 六 
9354MHz | 加 1 加 1111|1 加 1111|1 加 11111? 
2352MEE I 
?148MHz E14) 
: 终端 到 
' 基站 
8904MHz 1111 辐 LLLL 国 |1LLLI 国 1L1LLL 国 | 
8902MHE OY 
时 间 


图 5-2 GSM 的 TDMA 系统 


图 5-2 中 的 每 一 行 表示 一 个 带宽 为 200kHz 单 工 信 道 ，GSM 系统 有 124 对 这 样 的 单 工 信 道 
(上 行 链 路 890 一 915MHz， 下 行 链 路 935 一 960MHz)， 每 一 个 信道 采用 时 分 多 路 (TDMA ) 方式 
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可 支持 8 个 用 户 会 话 , 在 一 个 蜂窝 小 区 中 同时 通话 的 用 户 数 为 124X 8=992。 为 同一 用 户 指 定 的 
上 行 链 路 与 下 行 链 路 之 间 相差 3 个 时 槽 ， 如 图 中 的 阴影 部 分 所 示 ， 这 是 因为 终端 设备 不 能 同时 
发 送 和 接收 ， 需 要 留 出 一 定时 间 在 上 下 行 信道 之 间 进 行 切换 。 

2. 码 分 多 址 技术 


美国 高 通 公 司 (Qualcomm) 的 第 二 代数 字 蜂 窝 移动 通信 系统 工作 在 800MHz 频段 , 采用 码 
分 多 址 (CDMA) 技术 提供 话音 和 数据 业务 ， 因 其 频率 利用 率 高 ， 所 以 同样 的 频率 可 以 提供 更 
多 的 话音 信道 ， 而 且 通 话 质量 和 保密 性 也 较 好 。 

人 码 分 多 址 (Code Division Multiple Access，CDMA) 是 一 种 扩 频 多 址 数字 通信 技术 ， 通 过 
独特 的 代码 序列 建立 信道 。 在 CDMA 系统 中 ， 对 不 同 的 用 户 分 配 了 不 同 的 码 片 序列 ， 使 得 彼此 
不 会 造成 干扰 。 用 户 得 到 的 码 片 序列 由 +1 和 -1 组 成 ， 每 个 序列 与 本 身 进行 点 积 得 到 +1， 与 补 
码 进行 点 积 得 到 -1， 一 个 码 片 序列 与 不 同 的 码 片 序列 进行 点 积 将 得 到 0 〈 正 交 性 )。 例 如 ， 对 用 
户 A 分 配 的 码 片 系列 为 Ca (表示 “1”)， 其 补 码 为 Cao。( 表 示 “0”): 

Cn= Ll 

Ca = 0, 4D) 

对 用 户 B 分 配 的 码 片 序列 为 Ca (表示 “1”)， 其 补 码 为 Ce。( 表 示 “0”): 

Cmn= Gt 

Cs= 

则 计算 点 积 如 下 : 

oP oe We TE WW ee Re We We 

CaCao=(-1,—1,—1,—1) .1+1,+1,+1) /4=1 

Carecm= 

CaCm= Cl DC 

在 码 分 多 址 通信 系统 中 ， 不 同 用 户 传输 的 信号 不 是 用 频率 或 时 隙 来 区 分 ， 而 是 使 用 不 同 的 
人 码 片 序列 来 区 分 。 如 果 从 频 域 或 时 域 来 观察 ， 多 个 CDMA 信号 是 互相 重合 的 。 接 收 机 用 相关 
器 可 以 在 多 个 CDMA 信号 中 选 出 预定 的 码 型 信号 ， 其 他 不 同 码 型 的 信号 因为 和 接收 机 产生 的 
码 型 不 同 而 不 能 被 解 调 ， 它 们 的 存在 类 似 于 信道 中 存在 的 噪声 和 干扰 信号 ， 通 常 称 之 为 多 址 
干扰 。 

在 CDMA 蜂窝 通信 系统 中 , 用 户 之 间 的 信息 传输 是 由 基站 进行 控制 和 转发 的 。 为 了 实现 双 
工 通信 ， 正 向 传输 和 反 向 传输 各 使 用 一 个 频率 ， 即 所 谓 的 频 分 双 工 (FDD) 技术 。 无 论 正 向 传 
输 或 反 向 传输 ， 除 去 传输 业务 信息 外 ， 还 必须 传输 相应 的 控制 信息 。 为 了 传送 不 同 的 信息 ， 需 
要 设置 不 同 的 信道 。 但 是 ，CDMA 通信 系统 既 不 分 频道 又 不 分 时 际 ， 无 论 传 输 何 种 信息 的 信道 
都 采用 不 同 的 码 型 来 区 分 。 
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3. 第 二 代 移动 通信 升级 版 2.5G 


2.5G 是 比 2G 速度 快 、 但 又 慢 于 3G 的 通信 技术 规范 。2.5G 系统 能 够 提供 3G 系统 中 才 有 
的 一 些 功能 ， 例 如 分 组 交换 业务 ， 也 能 共享 2G 时 代 开 发 出 来 的 TDMA 或 CDMA 网 络 。 常 见 的 
2.5G 系统 是 通用 分 组 无 线 业 务 GPRS (General Packet Radio Service)。GPRS 分 组 网 络 重 琶 在 
GSM 网 络 之 上 ， 利 用 GSM 网 络 中 未 使 用 的 TDMA 信 道 为 用 户 提供 中 等 速度 的 移动 数据 业务 。 

GPRS 是 基于 分 组 交换 的 技术 ,也 就 是 说 多 个 用 户 可 以 共享 带宽 ,适合 于 像 Web 浏 览 E-mail 
收发 和 即时 消息 那样 的 共享 带宽 的 间歇 性 数据 传输 业务 。 通 常 ，GPRS 系统 是 按 交 换 的 字 节 数 
计 费 ， 而 不 是 按 连 接 时 间 计 费 的 。GPRS 系统 支持 耻 协 议和 PPP 协 议 。 理 论 上 的 分 组 交换 速度 大 
约 是 170kbps， 而 实际 速度 只 有 30 一 70kbps。 

对 GPRS 的 射频 部 分 进行 改进 的 技术 方案 称 为 增强 数据 速率 的 GSM 演进 (Enhanced Data 
rates for GSM Evolution，EDGE)。EDGE 又 称 为 增强 型 GPRS (EGPRS)， 可 以 工作 在 已 经 部 署 
GPRS 的 网 络 上 , 只 需要 对 手机 和 基站 设备 做 一 些 简单 的 升级 即 可 ,EDGE 被 认为 是 2.75G 技术 ， 
采用 8PSK 的 调制 方式 代替 了 GSM 使 用 的 高 斯 最 小 移 位 键 控 (GMSK) 调制 方式 ， 使 得 一 个 码 
元 可 以 表示 3 位 信息 。 从 理论 上 说 , EDGE 提供 的 数据 速率 是 GSM 系统 的 3 倍 。2003 年 , EDGE 
被 引入 北美 的 GSM 网 络 ， 支 持 20 一 200kbps 的 高 速 数据 传输 。 


5.1.3 ”第 三 代 移动 通信 系统 


1985 年 , ITU 提出 了 对 第 三 代 移动 通信 标准 的 需求 , 1996 年 正式 命名 为 IMT-2000 (Interna- 
tional Mobile Telecommunications-2000)， 其 中 的 2000 有 3 层 含 义 : 

。 ”使 用 的 频段 在 2000MHz 附近 。 

。 ”通信 速率 大 约 为 2000kbps( 即 2Mbps)。 

。 ”预期 在 2000 年 推广 商用 。 

1999 年 ITU 批准 了 5 个 IMT-2000 的 无 线 电 接口 ， 这 5 个 标准 如 下 。 

。 IMTDS (Direct Spread): 即 W-CDMA, 属于 频 分 双 工 模式 , 在 日 本 和 欧洲 制定 的 UMTS 


系统 中 使 用 。 
。 IMTMC (Multi-Carier): 即 CDMA-2000， 属 于 频 分 双 工 模式 ， 是 第 二 代 CDMA 系 统 
的 继承 者 。 


。 IMTTC (Time-Code): 这 一 标准 是 中 国 提 出 的 TD-SCDMA， 属 于 时 分 双 工 模式 。 

。 IMTSC (Single Carrier): 也 称 为 EDGE， 是 一 种 2.75G 技 术 。 

。 IMT-FT (Frequency Time): 也 称 为 DECT。 

2007 年 10 月 19 日 ,ITU 会 议 批准 移动 WiIMAX 作 为 第 6 个 3G 标准 , 称 为 IMT2000 OFDMA 
TDD WMAN， 即 无 线 城 域 网 技术 。 


第 5 章 无 线 通信 网 “图 143 荐 


第 三 代数 字 蜂 窟 通信 系统 提供 第 二 代 蜂 帘 通 信 系统 提供 的 所 有 业务 类 型 ， 并 支持 移动 多 媒 
体 业 务 。 在 高 速 车 辆 行驶 时 支持 144kbps 的 数据 速率 ， 在 步行 和 慢 速 移动 环境 下 支持 384kbps 
的 数据 速率 ， 在 室内 静止 环境 下 支持 2Mbps 的 高 速 数据 传输 ， 并 保证 可 靠 的 服务 质量 。 

在 3G 网 络 广泛 部 署 的 同时 , 第 四 代 (4G ) 移 动 通信 系统 也 在 加 紧 研 发 。 高 速 分 组 接 入 (High 
Speed Packet Access，HSPA) 是 W-CDMA 第 一 个 向 4G 进化 的 技术 ， 继 HSPA 之 后 的 高 速 上 行 
分 组 接 入 〈High Speed Uplink Packet Access，HSUPA) 是 一 种 被 称 为 3.75G 的 技术 ， 在 SMHz 
的 载波 上 数据 速率 可 达 10 一 153Mbps， 如 采用 MIMO 技术 ， 还 可 以 达到 28Mbps。 

4G 的 传输 速率 应 该 达到 100Mbps， 可 以 把 蓝牙 个 域 网 、 无 线 局 域 网 (Wi-Fi) 和 3G 技术 
等 结合 在 一 起 ， 组 成 无 颖 的 通信 和 解决 方案 。 不 同 的 无 线 通信 系统 对 数据 传输 速度 和 移动 性 的 支 
持 各 不 相同 ， 如 图 5-3 所 示 。 


图 5-3 ”通信 速率 和 移动 性 


5.2 无 线 局 域 网 


5.2.1 ”WLAN 的 基本 概念 


无 线 局 域 网 Wireless Local Area Networks，WLAN) 技术 分 为 两 大 阵营 : IEEE 802.11 标 
准 体系 和 欧洲 邮电 委员 会 (CEPT) 制定 的 HPERLAN (High Performance Radio LAN) 标准 体 
系 。IEEE 802.11 标准 是 由 面向 数据 通信 的 计算 机 局 域 网 发 展 而 来 ,采用 无 连接 的 网 络 协议 , 目 
前 市 场 上 的 大 部 分 产品 都 是 根据 这 个 标准 开发 的 ; 与 之 对 抗 的 HIPERLAN-2 标准 则 是 基于 连接 
的 无 线 局 域 网 ， 致 力 于 面向 语音 的 蜂窝 电话 。 

IEEE 802.11 标准 的 制定 始 于 1987 年 ， 当 初 是 在 802.4 工 小 组 作为 令 牌 总 线 的 一 部 分 来 研 
究 的 ， 其 主要 目的 是 用 作 工 厂 设 备 的 通信 和 控制 设施 。1990 年 ，IEEE 802.11 小 组 正式 独立 出 
来 ,专门 从 事 制定 WLAN 的 物理 层 和 MAC 层 标准 的 工作 。1997 年 颁布 的 下 EE 802.11 标准 运 
行 在 2.4GHz 的 ISM (Industrial Scientific and Medical) 频段 ， 采 用 扩 频 通信 技术 ， 支 持 1Mbps 
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和 2Mbps 数据 速率 。 随 后 又 出 现 了 两 个 新 的 标准 ，1998 年 推出 的 下 EE 802.11b 标准 也 是 运行 
在 ISM 频段 ， 采 用 CCK (Complementary Code Keying) 调制 技术 ， 支 持 11Mbps 的 数据 速率 。 
1999 年 推出 的 下 EE 802.11a 标准 运行 在 U-NI (Unlicensed National Information Infrastructure) 
频段 ， 采 用 OFDM 调制 技术 ， 支 持 最 高 达 54Mbps 的 数据 速率 。2003 年 推出 的 IEEE 802.11g 
标准 运行 在 ISM 频段 ,与 IEEE 802.11b 兼容 , 数据 速率 提高 到 54Mbps。 早 期 的 WLAN 标准 主 
要 有 4 种 ， 如 表 5-1 所 示 。 


表 5-1 IEEE 802.11 标准 


名 称 工作 频段 调制 技术 数据 速率 
802.11 2.4GHz ISM 频段 DB/SK UMbpe 
DQPSK 2Mbps 

802.11b 5.5Mbps, 11Mbps 
802.11a 54Mbps 


802.11g ”| 2003 年 2.4GHz ISM 频段 | oFPM | 54Mbps 


IEEE 802.11 定义 了 两 种 无 线 网 络 拓扑 结构 ， 一 种 是 基础 设施 网 络 (Infrastructure 
Networking)， 另 一 种 是 特殊 网 络 (Ad Hoc Networking)， 如 图 5-4 所 示 。 在 基础 设施 网 络 中 ， 
无 线 终端 通过 接 入 点 (Access Point，AP) 访问 骨干 网 设备 。 接 入 点 如 同一 个 网 桥 ， 它 负责 在 
802.11 和 802.3 MAC 协议 之 间 进行 转换 。 一 个 接 入 点 覆盖 的 区 域 叫 作 一 个 基本 服务 区 (Basic 
Service Area，BSA)， 接 入 点 控制 的 所 有 终端 组 成 一 个 基本 服务 集 (Basic Service Set，BSS)。 
把 多 个 基本 服务 集 互 相连 接 就 形成 了 分 布 式 系统 (Distributed System，DS)。DS 支持 的 所 有 服 
务 叫 作 扩展 服务 集 (Extended Service Set，ESS)， 它 由 两 个 以 上 BSS 组 成 ， 如 图 5-5 所 示 。 


接 入 点 1 
Ad Hoc 
L 
aa 
(a) 基础 设施 网 络 (b) Ad Hoc 网 络 


图 5-4 IEEE 802.11 定义 的 网 络 拓扑 结构 


Ad Hoc 网 络 是 一 种 点 对 点 连接 , 不 需要 有 线 网 络 和 接 入 点 的 支持 , 终端 设备 之 间 通 过 无 线 
网 卡 可 以 直接 通信 。 这 种 拓扑 结构 适合 在 移动 情况 下 快速 部 署 网 络 。802.11 支持 单 跳 的 Ad Hoc 
网 络 ， 当 一 个 无 线 终端 接 入 时 首先 寻找 来 自 AP 或 其 他 终端 的 信 标 信号 ， 如 果 找 到 了 信 标 ， 则 
AP 或 其 他 终端 就 宣布 新 的 终端 加 入 了 网 络 ; 如 果 没 有 检测 到 信 标 , 该 终端 就 自行 宣布 存在 于 网 


络 之 中 。 
信 ， 下 面 
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还 有 一 种 多 跳 的 Ad Hoc 网 络 ， 无 线 终端 用 接力 的 方法 与 相距 很 远 的 终端 进行 对 等 通 
详细 介绍 这 种 技术 。 


扩展 服务 集 ESS 


图 5-5 IEEE 802.11 定义 的 分 布 式 系统 


5.2.2”WLAN 通信 技术 
无 线 网 可 以 按照 使 用 的 通信 技术 分 类 。 现 有 的 无 线 网 主要 使 用 3 种 通信 技术 : 红外 线 、 扩 


展 频谱 和 


窄带 微波 技术 。 


1. 红外 通信 


红外 线 (Infrared Ray，IR) 通 信 技 术 可 以 用 来 建立 WLAN。IR 通信 相对 于 无 线 电 微波 通 
信 有 一 些 重 要 的 优点 。 首 先 红外 线 频谱 是 无 限 的 ， 因 此 有 可 能 提供 极 高 的 数据 速率 。 其 次 红外 
线 频 谱 在 世界 范围 内 都 不 受 管制 ， 而 有 些微 波 频 谱 则 需要 申请 许可 证 。 

另外 ， 红 外 线 与 可 见 光 一 样 ， 可 以 被 浅 色 的 物体 漫 反 射 ， 这 样 就 可 以 用 天 花 板 反射 来 覆盖 


整 间 房 间 
房间 内 的 


。 红 外 线 不 会 穿 透 墙壁 或 其 他 的 不 透明 物体 ， 因此 TR 通信 不 易 入 侵 ， 安 装 在 大 楼 各 个 
红外 线 网 络 可 以 互 不 干扰 地 工作 。 


红外 线 网 络 的 另 一 个 优点 是 它 的 设备 相对 简单 而 且 便 宜 。 红 外 线 数据 的 传输 技术 基本 上 是 
采用 强度 调制 ， 红 外 线 接收 器 只 需 检测 光 信 号 的 强 弱 ， 而 大 多 数 微波 接收 器 则 要 检测 信号 的 频 
率 或 相位 。 

红外 线 网 络 也 存在 一 些 缺 点 。 室 内 环境 可 能 因 阳 光 或 照明 而 产生 相当 强 的 光线 ， 这 将 成 为 
红外 接收 器 的 噪音 ， 使 得 必须 用 更 高 能 量 的 发 送 器 ， 并 限制 了 通信 范围 。 很 大 的 传输 能 量 会 消 
耗 过 多 的 电能 ， 并 对 眼睛 造成 不 良 影 响 。 

了 通信 分 为 3 种 技术 : 


《1 


定向 红外 光束 。 定 向 红外 光束 可 以 用 于 点 对 点 链 路 。 在 这 种 通信 方式 中 ， 传 输 的 范围 
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取决 于 发 射 的 强度 与 光束 集中 的 程度 。 定 向 光束 天 链 路 可 以 长 达 几 千 米 ， 因 而 可 以 连接 几 座 大 
楼 的 网 络 ， 每 幢 大 楼 的 路 由 器 或 网 桥 在 视 距 范围 内 通过 IR 收发 器 互相 连接 。 点 对 点 食 链 路 的 
室内 应 用 是 建立 令 牌 环 网 ， 各 个 下 收发 器 链接 形成 回路 ， 每 个 收发 器 支持 一 个 终端 或 由 集 线 
器 连接 的 一 组 终端 ， 集 线 器 充当 网 桥 功 能 。 

(2) 全 方向 广播 红外 线 。 全 向 广播 网 络 包含 一 个 基站 ， 典 型 情况 下 基站 置 于 天 花 板 上 ， 它 
看 得 见 LAN 中 的 所 有 终端 。 基 站 上 的 发 射 器 向 各 个 方向 广播 信号 ， 所 有 终端 的 及 收发 器 都 用 
定位 光束 瞄准 天 花 板 上 的 基站 ， 可 以 接收 基站 发 出 的 信号 ， 或 向 基站 发 送信 号 。 

(3) 漫 反 射 红外 线 。 在 这 种 配置 中 ， 所 有 的 发 射 器 都 集中 瞄准 天 花 板 上 的 一 点 。 红 外 线 射 
到 天 花 板 上 后 被 全 方位 地 漫 反 射 回 来 ， 并 被 房间 内 所 有 的 接收 器 接收 。 

漫 反射 WLAN 采用 线性 编码 的 基带 传输 模式 。 基 带 脉冲 调制 技术 一 般 分 为 脉冲 幅度 调制 
(PAMD)、 脉 冲 位 置 调制 (PPM) 和 脉冲 宽度 调制 (PDM)。 顾 名 思 义 ， 在 这 3 种 调制 方式 中 ， 
信息 分 别 包含 在 脉冲 信号 的 幅度 、 位 置 和 持续 时 间 里 。 由 于 无 线 信道 受 距离 的 影响 导致 脉冲 幅 
度 变化 很 大 ， 所 以 很 少 使 用 PAM， 而 PPM 和 了 PDM 则 成 为 较 好 的 候选 技术 。 

图 5-6 所 示 为 PPM 技术 的 一 种 应 用 。 数 据 1 和 0 都 用 3 个 窗 脉 冲 表示 ， 但 是 1 被 编码 在 
位 的 起 始 位 置 , 而 0 被 编码 在 中 间 位 置 。 使 用 罕 脉 冲 有 利于 减少 发 送 的 功率 , 但 是 增加 了 带宽 。 
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图 5-6 PPM 的 应 用 


IEEE 802.11 规定 采用 PPM 技术 作为 漫 反 射 人 R 介质 的 物理 层 标准 ， 使 用 的 波长 为 850 一 
950nm， 数 据 速 率 分 为 1Mbps 和 2Mbps 两 种 。 在 1Mbps 的 方案 中 采用 16 PPM， 即 脉冲 信号 占 
用 16 个 位 置 之 一 ， 一 个 脉冲 信号 表示 4 位 信息 ， 如 图 5-7 (a) 所 示 。802.11 标准 规定 脉冲 宽 
度 为 250ns， 则 16X250=4hs， 可 见 4hs 发 送 4 位 ， 即 数据 速率 为 IMbps。 对 于 2Mbps 的 网 络 ， 
则 规定 用 4 个 位 置 来 表示 两 位 的 信息 ， 如 图 5-7 (b) 所 示 。 


2， 扩 展 频谱 通信 

扩展 频谱 通信 技术 起 源 于 军事 通信 和 网络 , 其 主要 想法 是 将 信号 散布 到 更 宽 的 带宽 上 以 减少 
发 生 阻塞 和 干扰 的 机 会 。 早 期 的 扩 频 方式 是 频率 跳动 扩展 频谱 Frequency-Hopping Spread 
Spectrum, FHSS), 更 新 的 版 本 是 直接 序列 扩展 频谱 (Direct Sequence Spread Spectrum，DSSS )， 
这 两 种 技术 在 IEEE 802.11 定义 的 WLAN 中 都 有 应 用 。 
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一 -一 0000 0000000000000001 

一 0001 0000000000000010 

一 -一 ~ 0010 0000000000000100 
! ! 

一 ”~ 1101 0010000000000000 

— 1110 0100000000000000 

一 1111 1000000000000000 


(a) 1Mbps 的 PPM 编码 


一 -~ 0l 0010 
一 一 10 0100 
一 11 1000 


(b) 2Mbps 的 PPM 编 码 
图 5-7 IEEE 802.11 规定 的 PPM 调制 技术 
图 5-8 表示 了 各 种 扩展 频谱 系统 的 共同 特点 。 输 入 数据 首先 进入 信道 编码 器 ， 产 生 一 个 接 
近 某 中 央 频 谱 的 较 罕 带宽 的 模拟 信号 ， 再 用 一 个 伪 随 机 序列 对 这 个 信号 进行 调制 。 调 制 的 结果 
是 大 大 扩 宽 了 信和 号 的 带宽 ， 即 扩展 了 频谱 。 在 接收 端 ， 使 用 同样 的 伪 随 机 序列 来 恢复 原来 的 信 
号 ， 最 后 再 进入 信道 解码 器 来 恢复 数据 。 
输入 数据 


一 [fi 六 友 叶 | 一 -网 币 关 一 | 信道 | 一 -外 刘 员 一 [信道 朋友 各 ls 


为 随机 模式 产生 器 伪 随 机 模式 产生 器 


图 5-8 扩展 频谱 通信 系统 的 模型 


伪 随 机 序列 由 一 个 使 用 初 值 ( 称 为 种 子 Seed) 的 算法 产生 。 算 法 是 确定 的 ， 因 此 产生 的 数 
字 序 列 并 不 是 统计 随机 的 。 但 如 果 算 法 设计 得 好 ， 得 到 的 序列 还 是 能 够 通过 各 种 随机 性 测试 ， 
这 就 是 被 叫 作伪 随机 序列 的 原因 。 重 要 的 是 除非 用 户 知道 算法 与 种 子 ， 否 则 预测 序列 是 不 可 能 
的 。 因此， 只 有 与 发 送 器 共享 一 个 伪 随 机 序列 的 接收 器 才能 成 功 地 对 信号 进行 解码 。 

1) 频率 跳动 扩 频 

在 这 种 扩 频 方案 中 ,信号 按照 看 似 随机 的 无 线 电 频谱 发 送 ， 每 一 个 分 组 都 采用 不 同 的 频率 
传输 。 在 所 谓 的 快 跳 频 系统 中 ， 每 一 跳 只 传送 很 短 的 分 组 。 在 军事 上 使 用 的 快 跳 频 系统 中 ， 传 
输 一 位 信息 要 用 到 很 多 位 。 接 收 器 与 发 送 器 同步 跳动 ， 因 而 可 以 正确 地 接收 信息 。 监 听 的 入 侵 
者 只 能 收 到 一 些 无 法 理解 的 信号 ， 干 扰 信 号 也 只 能 破坏 一 部 分 传输 的 信息 。 图 5-9 是 用 跳 频 模 
式 传输 分 组 的 例子 。10 个 分 组 分 别 用 A、f、、、fi、 有 fh、f、fh、h、h 共 9 个 不 同 的 频 点 
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图 5-9 ”频率 跳动 信号 的 例子 


在 定义 无 线 局 域 网 的 IEEE 802.11 标准 中 ， 每 一 跳 的 最 长 时 间 规 定 为 400ms， 分 组 的 最 大 
长 度 为 30ms。 如 果 一 个 分 组 受到 罕 带 干扰 的 破坏 ， 可 以 在 400ms 后 的 下 一 跳 以 不 同 的 频率 重 
新 发 送 。 与 分 组 的 最 大 长 度 相 比 ，400ms 是 一 个 合理 的 延迟 。802.11 标准 还 规定 ，FHSS 使 用 的 
频 点 间隔 为 IMHz， 如 果 一 个 频 点 由 于 信号 衰落 而 传输 出 错 ，400ms 后 以 不 同 频率 重 发 的 数据 
将 会 成 功 地 传送 。 这 就 是 FHSS 通信 方式 抗 干 扰 和 抗 信号 衰落 的 优点 。 

2) 直接 序列 扩 频 

在 这 种 扩 频 方案 中 ,信号 源 中 的 每 一 位 用 称 为 码 片 的 NN 个 位 来 传输 ， 这 个 变换 过 程 在 扩展 
器 中 进行 。 然 后 把 所 有 的 码 片 用 传统 的 数字 调制 器 发 送出 去 。 在 接收 端 ， 收 到 的 码 片 解 调 后 被 
送 到 一 个 相关 器 ， 自 相关 函数 的 尖峰 用 于 检测 发 送 的 位 。 好 的 随机 码 相关 函数 具有 非常 高 的 尖 
峰 / 旁 兴 比 , 如 图 5-10 所 示 。 数 字 系 统 的 带宽 与 其 所 采用 的 脉冲 信号 的 持续 时 间 成 反比 。 在 DSSS 
系统 中 ， 由 于 发 射 的 码 片 只 占 数据 位 的 WN， 所 以 DSSS 信号 的 带宽 是 原来 数据 带宽 的 入 倍 。 


输入 数据 | 
扩展 器 调制 器 解 调 器 | 相关 器 六 一 


输出 数据 
数据 位 数据 1 
扩展 位 | 自 相关 函数 
1 | 公 片 蔓 
~ 浮 
LU 
码 片 时 延 


图 5-10 DSSS 的 频谱 扩展 器 和 自 相关 检测 器 
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图 5-11 所 示 的 直接 序列 扩展 频谱 技术 是 将 信息 流 和 伪 随 机 位 流 相 异 或 。 如 果 信 息 位 是 1， 
它 将 把 伪 随 机 码 置 反 后 传输 ， 如果 信 息 位 是 0， 伪 随机 码 不 变 ， 照 原样 传输 。 经 过 异 或 的 码 与 
原来 的 伪 随 机 码 有 相同 的 频谱 ， 所 以 它 比 原来 的 信息 流 有 更 宽 的 带宽 。 在 本 例 中 ， 每 位 输入 数 
据 被 变 成 4 位 信号 位 。 


| 输入 数据 
| 擅 随 机 位 
| 传输 信号 


or_ | 
ouo | 
0110 | 


接收 信号 | oll0 | ollo | oulo | 1ou | lolo | oou | lou [ono | 
伪 随 机 位 | 1001 | oll0 | 1001 | 0100 | 1010 | loo | 1o0 [ono | 
接收 数据 | 1 | |1 | |。 | Jo To | 


图 5-11 直接 序列 扩展 频谱 的 例 
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世界 各 国都 划 出 一 些 无 线 频段 ， 用 于 工业 、 科 学 研究 和 微波 医疗 方面 。 应 用 这 些 频段 无 须 
许可 证 ， 只 要 低 于 一 定 的 发 射 功率 (一 般 为 1W) 即 可 自由 使 用 。 美 国有 3 个 ISM 频段 (902 一 
928MHz、2400 一 2483.3SMHz、5725 一 5850MHz)，2.4GHz 为 各 国共 同 的 ISM 频段 。 频 谱 越 高 ， 
潜在 的 带宽 也 越 大 。 另 外 ， 还 要 考虑 可 能 出 现 的 干扰 。 有 些 设备 (例如 无 强 电 话 、 无 线 麦 克 、 
业余 电台 等 ) 的 工作 频率 为 9000MHz。 还 有 些 设备 运行 在 2.4GHz 上 ， 典 型 的 例子 就 是 微波 炉 ， 
它 使 用 久 了 会 泄露 更 多 的 射线 。 目 前 看 来 ， 在 5.8GHz 频 带 上 还 没有 什么 竞争 。 但 是 频谱 越 高 ， 
设备 的 价格 就 越 贵 。 


3.， 窒 带 微 波 通信 


窄带 微波 (Narrowband Microwave) 是 指使 用 微波 无 线 电 频带 (RF) 进行 数据 传输 ， 其 带 
宽 刚 好 能 容纳 传输 信号 。 以 前 ， 所 有 的 罕 带 微波 无 线 网 产品 都 需要 申请 许可 证 ， 现 在 已 经 出 现 
了 ISM 频带 内 的 罕 带 微波 无 线 网 产品 。 

(1) 申请 许可 证 的 穿 带 RF。 用 于 声音 、 数 据 和 视频 传输 的 微波 无 线 电 频率 需要 通过 许可 
证 进行 协调 ， 以 确保 在 同一 地 理 区 域 中 的 各 个 系统 之 间 不 会 相互 干扰 。 在 美国 ， 由 联邦 通信 委 
员 会 FCC) 来 管理 许可 证 。 每 个 地 理 区 域 的 半径 为 17.5 英里 ， 可 以 容纳 5 个 许可 证 ， 每 个 许 
可 证 覆盖 两 个 频率 。Motorola 公司 在 18GHz 的 范围 内 拥有 600 个 许可 证 , 宪 凑 了 1200 个 频带 。 

(2) 免 许 可 证 的 窄带 RF。1995 年 ，Radio LAN 成 为 第 一 个 引进 免 许 可 证 ISM 窦 带 无 线 网 
的 制造 商 。 这 一 频谱 可 以 用 于 低 功 率 (<0.5W) 的 窄带 传输 。Radio LAN 产品 的 数据 速率 为 
10Mbps， 使 用 5.8GHz 频带 ， 有 效 履 盖 范 围 为 130 一 300 英尺 。 


so 
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Radio LAN 是 一 种 对 等 配置 的 网 络 。Radio LAN 的 产品 按照 位 置 、 干 扰 和 信号 强度 等 参数 
自动 地 选择 一 个 终端 作为 动态 主管 ， 其 作用 类 似 于 有 线 网 中 的 集线器 。 当 情况 变化 时 ， 作 为 动 
态 主管 的 实体 也 会 自动 改变 。 这 个 网 络 还 包括 动态 中 继 功 能 ， 它 允许 每 个 终端 像 转 发 器 一 样 工 
作 ， 使 得 超越 传输 范围 的 终端 也 可 以 进行 数据 传输 。 

5.2.3 IEEE 802.11 体系 结构 


802.11WLAN 的 协议 栈 如 图 5-12 所 示 。MAC 层 分 为 MAC 子 层 和 MAC 管理 子 层 。MAC 
子 层 负责 访问 控制 和 分 组 拆 装 ，MAC 管理 子 层 负责 ESS 漫游 、 电 源 管 理 和 登记 过 程 中 的 关联 
管理 。 物 理 层 分 为 物理 层 会 聚 协议 〈(Physical Layer Convergence Protocol，PLCP)、 物 理 介质 相 
关 (Physical Medium Dependent，PMD ) 子 层 和 PHY 管理 子 层 。PLCP 主要 进行 载波 监听 和 物 
理 层 分 组 的 建立 ， PMD 用 于 传输 信号 的 调制 和 编码 ， 而 PHY 管理 子 层 负责 选择 物理 信道 和 调 
谐 。 另 外 ，IEEE 802.11 还 定义 了 站 管理 功能 ， 用 于 协调 物理 层 和 MAC 层 之 间 的 交互 作用 。 


图 5-12 WLAN 协议 模型 


IEEE 802.11 定义 了 3 种 PLCP 帧 格式 来 对 应 3 种 不 同 的 PMD 子 层 通信 技术 。 

(1) FHSS。 对 应 于 FHSS 通信 的 PLCP 帧 格式 如 图 5-13 所 示 。SYNC 是 0 和 1 的 序列 ， 
共 80 位 作为 同步 信号 。SFD 的 位 模式 为 0000110010111101， 用 作 帧 的 起 始 符 。PLW 代表 帧 长 
度 ， 共 12 位 ， 所 以 帧 最 大 长 度 可 以 达到 4096 字 节 。PSF 是 分 组 信 令 字段 ， 用 来 标识 不 同 的 数 
据 速 率 。 起 始 数据 速率 为 IMbps, 以 0.5 的 步 长 递增 。 PSF=0000 时 代表 数据 速率 为 IMbps, PSF 
为 其 他 数值 时 则 在 起 始 速率 的 基础 上 增加 一 定 倍数 的 步 长 。 例 如 PSF=0010， 则 1Mbps+0.5MbpsX 
2=2Mbps; 若 PSF=1111， 则 1Mbps+0.5MbpsX15=8.5Mbps。16 位 的 CRC 是 为 了 保护 PLCP 头 
部 所 加 的 ， 它 能 纠正 2 位 错 。MPDU 代表 MAC 协议 数据 单元 。 


SYNC (80) SFD (16) | PLW (12) | PSF (4) | CRC (16) | MPDU (<4096 字 节 ) 


图 5-13 用 于 FHSS 方式 的 PLCP 帧 
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在 2.402 一 2.480GHz 之 间 的 ISM 频带 中 分 布 着 78 个 1MHz 的 信道 , PMD 层 可 以 采用 以 下 
3 种 跳 频 模式 之 一 ， 每 种 跳 频 模式 在 26 个 频 点 上 跳跃 : 

(0, 3, 6, 9, 12，15，18，…，60，63，66，69，72，75) 

(ls 机 7; 10, 13; 16; 19, “5 61; .64; 67, 70; 73; 76) 

(2. 5; 8;, Ll, 14; 17; 20, wi 62, 65, 68, 71; 74; 77) 

具体 采用 哪 一 种 跳 频 模式 由 PHY 管理 子 层 决定 。3 种 跳 频 点 可 以 提供 3 个 BSS 在 同一 小 
区 中 共存 。IEEE 802.11 还 规定 ， 跳 跃 速率 为 2.5 跳 / 秒 ， 推 荐 的 发 送 功率 为 100mW。 

(2) DSSS。 图 5-14 所 示 为 采用 DSSS 通信 时 的 帧 格式 ， 与 前 一 种 不 同 的 字段 解释 如 下 : 
SFD 字段 的 位 模式 为 1111001110100000。Signal 字段 表示 数据 速率 ， 步 长 为 100kbps， 比 FHSS 
精确 5 倍 。 例 如 Signal 字段 =00001010 时 ，10X100kbps=1Mbps; Signal 字段 =00010100 时 ， 
20X100kbps=2Mbps; Service 字段 保留 未 用 。Length 字段 指 MPDU 的 长 度 ， 单 位 为 ns。 


图 5-14 用 于 DSSS 方式 的 PLCP 帧 


图 5-15 所 示 为 IEEE 802.11 采用 的 直接 系列 扩 频 信号 ,每 个 数据 位 被 编码 为 11 位 的 Barker 
码 ， 图 中 采用 的 序列 为 [1，1，1，-1，-1，-1，1，-1，-1，1，-1]。 码 片 速率 为 11Mb/s， 占 
用 的 带宽 为 25MHz， 数 据 速 率 为 IMbps 和 2Mbps 时 分 别 采用 差分 二 进 制 相 移 键 控 (DB/SK) 
和 差分 四 相 相 移 键 控 (DQPSK)， 即 一 个 码 元 分 别 代表 1 位 或 2 位 数据 。 


数据 位 


图 5-15 DSSS 的 数据 位 和 扩展 位 


ISM 的 2.4GHz 频段 划分 成 11 个 互相 覆盖 的 信道 ， 其 中 心 频率 间隔 为 SMHz， 如 图 5-16 
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所 示 。 接 入 点 AP 可 根据 干扰 信号 的 分 布 在 5 个 频段 中 选择 一 个 最 有 利 的 频段 。 推 荐 的 发 送 功 


率 为 ImW。 
XX 
VM 


2.412GHz 2.462GHz 


图 5-16 DSSS 的 覆盖 频段 


(3) DFIR。5-17 所 示 为 采用 漫 反射 红外 线 (Diffused 及，DFIR) 时 的 PLCP 帧 格式 。DFIR 
的 SYNC 比 FHSS 和 DSSS 的 都 短 , 因为 采用 光敏 二 极 管 检 测 信号 不 需要 复杂 的 同步 过 程 。 Data 
rate 字段 二 000， 表 示 1Mbps; Data rate 字段 二 001， 表 示 2Mbps。DCLA 是 直流 电 平 调节 字段 ， 
通过 发 送 32 个 时 际 的 脉冲 序列 来 确定 接收 信号 的 电 平 。MPDU 的 长 度 不 超过 2500 字 节 。 


SYNC (57-73) | SFD (4) | Datarate (3) | DCLA (32) | Length (16) | FCS (16) | MPDU 


图 5-17 用 于 DEFIR 方式 的 PLCP 帧 


2. MAC 子 层 


MAC 子 层 的 功能 是 提供 访问 控制 机 制 , 它 定义 了 3 种 访问 控制 机 制 : CSMA/CA 支持 竞争 
访问 ，RTS/CTS 和 点 协调 功能 支持 无 竞争 的 访问 。 

1) CSMA/CA 协议 

CSMA/CA 类 似 于 802.3 的 CSMA/CD 协议 ， 这 种 访问 控制 机 制 叫 作 载波 监听 多 路 访问 / 神 
突 避 免 协议 。 在 无 线 网 中 进行 冲突 检测 是 有 困难 的 。 例 如 两 个 站 由 于 距离 过 大 或 者 中 间 障 碍 物 
的 分 隔 从 而 检测 不 到 冲突 ， 但 是 位 于 它们 之 间 的 第 3 个 站 可 能 会 检测 到 冲突 ， 这 就 是 所 谓 的 隐 
蔽 终端 问题 。 采 用 冲突 避免 的 办 法 可 以 解决 隐蔽 终端 的 问题 。802.11 定义 了 一 个 帧 间隔 (Inter 
Frame Spacing，IFS) 时 间 。 另 外 ， 还 有 一 个 后 退 计 数 器 ， 它 的 初始 值 是 随机 设置 的 ， 递 减 计 
数 直到 0。 基 本 的 操作 过 程 如 下 : 

(1) 如 果 一 个 站 有 数据 要 发 送 并 且 监 听 到 信道 忙 ， 则 产生 一 个 随机 数 设置 自己 的 后 退 计数 
器 并 坚持 监听 。 
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(2) 听 到 信道 空闲 后 等 待 正 S 时 间 ， 然 后 开始 计数 。 最 先 计数 完 的 站 开始 发 送 。 

(3) 其 他 站 在 听 到 有 新 的 站 开始 发 送 后 暂停 计数 ， 在 新 的 站 发 送 完成 后 再 等 待 一 个 IFS 时 
间 继 续 计数 ， 直 到 计数 完成 开始 发 送 。 

分 析 这 个 算法 发 现 ， 两 次 FS 之 间 的 间隔 是 各 个 站 竞争 发 送 到 时 间 。 这 个 算法 对 参与 竞争 
的 站 是 公平 的 ， 基 本 上 是 按 先 来 先 服务 的 顺序 获得 发 送 的 机 会 。 

2) 分 布 式 协调 功能 

802.11 MAC 层 定义 的 分 布 式 协调 功能 (Distributed Coordination Function，DCF) 利用 了 
CSMA/CA 协议 ， 在 此 基础 上 又 定义 了 点 协调 功能 (Point Coordination Function，PCF)， 如 图 
5-18 所 示 。DCEF 是 数据 传输 的 基本 方式 ， 作 用 于 信道 竞争 期 。 PCF 工作 于 非 竞争 期 。 两 者 总 是 
交替 出 现 ， 先 由 DCEF 竞争 介质 使 用 权 ， 然 后 进入 非 竞争 期 ， 由 PCF 控制 数据 传输 。 


图 5-18 MAC 层 功 能 模型 


为 了 使 各 种 MAC 操作 互相 配合 ，IEEE 802.11 推荐 使 用 3 种 帧 间隔 (下 S)， 以 使 提供 基于 
优先 级 的 访问 控制 。 

。 DIFS (分 布 式 协调 FS): 最 长 的 IS， 优 先 级 最 低 ， 用 于 异步 帧 竞争 访问 的 时 延 。 

。 了 PIFS (点 协调 IFS): 中 等 长 度 的 IFS， 优 先 级 居中 ， 在 PCF 操作 中 使 用 。 

。 SIFS ( 短 IFS): 最 短 的 IFS， 优 先 级 最 高 ， 用 于 需要 立即 响应 的 操作 。 

DIFS 用 在 前 面 介 绍 的 CSMA/CA 协议 协议 中 , 只 要 MAC 层 有 数据 要 发 送 ， 就 监听 信道 是 
否 空闲。 如 果 信 道 空 闲 ， 等 待 DIFS 时 段 后 开始 发 送 ， 如 果 信道 忙 ， 就 继续 监听 并 采用 前 面 介 
绍 的 后 退 算法 等 待 ， 直 到 可 以 发 送 为 止 。 

IEEE 802.11 还 定义 了 带 有 应 答 帧 (ACK) 的 CSMA/CA。 图 5-19 所 示 为 AP 和 终端 之 间 
使 用 带 有 应 答 帧 的 CSMA/CA 进行 通信 的 例子 。AP 收 到 一 个 数据 帧 后 等 待 SIFS 再 发 送 一 个 应 
答 帧 ACK。 由 于 SIFS 比 DIFS 小 得 多 , 所 以 其 他 终端 在 AP 的 应 答 帧 传送 完成 后 才能 开始 新 的 
竞争 过 程 。 

SIFS 也 用 在 RTS/CTS 机 制 中 ， 如 图 5-20 所 示 。 源 终端 先 发 送 一 个 “请 求 发 送 ” 帧 RTS， 
其 中 包含 源 地 址 、 目 标 地 址 和 准备 发 送 的 数据 帧 的 长 度 。 目 标 终端 收 到 RTS 后 等 待 一 个 SIFS 
时 间 ， 然 后 发 送 “ 人 允许 发 送 ” 帧 CTS。 源 终端 收 到 CTS 后 再 等 待 SIFS 时 间 ， 就 可 以 发 送 数据 
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帧 了 。 目 标 终 端 收 到 数据 帧 后 也 等 待 SIFS， 发 回应 答 帧 。 其 他 终端 发 现 RTS/CTS 后 就 设置 一 
个 网 络 分 配 矢量 (Network Allocation Vector，NAV) 信号 ， 该 信号 的 存在 说 明 信 道 忙 ， 所 有 终 


端 不 得 争 用 信道 。 
数据 帧 
应 答 帧 ACK 
终端 MS AP 


图 5-19 带 有 ACK 的 数据 传输 


图 5-20 RTS/CTS 工作 机 制 


3) 点 协调 功能 

PCF 是 在 DCF 之 上 实现 的 一 个 可 选 功能 。 所 谓 点 协调 就 是 由 AP 集中 轮 询 所 有 终端 , 为 其 
提供 无 竞争 的 服务 ， 这 种 机 制 适用 于 时 间 敏 感 的 操作 。 在 轮 询 过 程 中 使 用 PIFS 作为 帧 间隔 时 
间 。 由 于 PIFS 比 DIFS 小 ， 所 以 点 协调 能 够 优先 CSMA/CA 获得 信道 ， 并 把 所 有 的 异步 帧 都 推 
后 传送 。 

在 极端 情况 下 ， 点 协调 功能 可 以 用 连续 轮 询 的 方式 排除 所 有 的 异步 帧 。 为 了 防止 这 种 情况 
的 发 生 ，802.11 又 定义 了 一 个 称 为 超级 帧 的 时 间 间 隔 。 在 此 时 段 的 开始 部 分 ， 由 点 协调 功能 向 
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所 有 配置 成 轮 询 的 终端 发 出 轮 询 。 随 后 在 超级 帧 余下 的 时 间 人 允许 异步 帧 竞争 信道 。 
3. MAC 管理 


MAC 管理 子 层 的 功能 是 实现 登记 过 程 、ESS 漫游 、 安 全 管理 和 电源 管理 等 功能 。 WLAN 
是 开放 系统 ， 各 站 点 共享 传输 介质 ， 而 且 通 信 站 具有 移动 性 ， 因 此 ， 必 须 解 决 信息 的 同步 、 漫 
游 、 保 密 和 节能 问题 。 

1) 登记 过 程 

信 标 是 一 种 管理 帧 ， 由 AP 定期 发 送 ， 用 于 时 间 同 步 。 信 标 还 用 来 识别 AP 和 网 络 ， 其 中 
包含 基站 人 D、 时 间 蕉 、 睡 眠 模式 和 电源 管理 等 信息 。 

为 了 得 到 WLAN 提供 的 服务 , 终端 在 进入 WLAN 区 域 时 ， 必 须 进 行 同步 搜索 以 定位 AP， 
并 获取 相关 信息 。 同 步 方 式 有 主动 扫描 和 被 动 扫描 两 种 。 所 谓 主动 扫描 就 是 终端 在 预定 的 各 个 
频道 上 连续 扫描 ， 发 射 探 试 请 求 帧 ， 并 等 待 各 个 AP 的 响应 帧 ; 收 到 各 AP 的 响应 帧 后 ， 工 作 
站 将 对 各 个 帧 中 的 相关 部 分 进行 比较 以 确定 最 佳 AP。 

终端 获得 同步 的 另 一 种 方法 是 被 动 扫描 。 如 果 终 端 已 在 BSS 区 域 ， 那 么 它 可 以 收 到 各 个 
AP 周期 性 发 射 的 信 标 帧 ， 因 为 帧 中 含有 同步 信息 ， 所 以 工作 站 在 对 各 帧 进行 比较 后 ， 确 定 最 
佳 AP。 

终端 定位 了 AP 并 获得 了 同步 信息 后 就 开始 了 认证 过 程 ， 认 证 过 程 包括 AP 对 工作 站 身份 
的 确认 和 共享 密 钥 的 认证 等 。 

认证 过 程 结束 后 就 开始 关联 过 程 ， 关 联 过 程 包括 终端 和 AP 交换 信息 ， 在 DS 中 建立 终端 
和 AP 的 映射 关系 ，DS 将 根据 该 映射 关系 来 实现 相同 BSS 及 不 同 BSS 间 的 信息 传送 。 关 联 过 
程 结束 后 ， 工 作 站 就 能 够 得 到 BSS 提供 的 服务 了 。 

2) 移动 方式 

IEEE 802.11 定义 了 3 种 移动 方式 : 无 转移 方式 是 指 终端 是 固定 的 ， 或 者 仅 在 BSA 内 部 移 
动 ; BSS 转移 是 指 终端 在 同一 个 ESS 内 部 的 多 个 BSS 之 间 移 动 ，ESS 转移 是 指 从 一 个 ESS 移 
动 到 另 一 个 ESS。 

当 终 端 开始 漫游 并 逐渐 远离 AP 时 ， 它 对 AP 的 接收 信号 将 变 坏 ， 这 时 终端 启动 扫描 功能 
重新 定位 AP， 一 旦 定位 了 新 的 AP， 工 作 站 随即 向 新 AP 发 送 重新 连接 请 求 ， 新 AP 将 该 终端 
的 重新 连接 请 求 通知 分 布 式 系统 (DS)，DS 随即 更 改 该 工作 站 与 AP 的 映射 关系 ， 并 通知 原来 
的 AP 不 再 与 该 工作 站 关联 。 然 后 ， 新 AP 向 该 终端 发 射 重 新 连接 响应 。 至 此 ， 完 成 漫游 过 程 。 
如 果 工 作 站 没有 收 到 重新 连接 响应 ， 它 将 重启 扫描 功能 ， 定 位 其 他 AP， 重 复 上 述 过 程 ， 直 到 
连接 上 新 的 AP。 

3) 安全 管理 

无 线 传输 介质 使 得 所 有 符合 协议 要 求 的 无 线 系统 均 可 在 信号 覆 盖 范 围 内 收 到 传输 中 的 数 
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据 包 ， 为 了 达到 和 有 线 网 络 同等 的 安全 性 能 ，IEEE 802.11 采取 了 认证 和 加 密 措施 。 

认证 程序 控制 WLAN 接 入 的 能 力 ， 这 一 过 程 被 所 有 无 线 终端 用 来 建立 合法 的 身份 标志 ， 
如 果 AP 和 工作 站 之 间 无 法 完成 相互 认证 ， 那 么 它们 就 不 能 建立 有 效 的 连接 。IEEE 802.11 协议 
支持 多 个 不 同 的 认证 过 程 ， 并 且 允 许 对 认证 方案 进行 扩充 。 

IEEE 802.11 提供 了 有 线 等 效 保密 (Wired Equivalent Privacy，WEP) 技术 ， 又 称 无 线 加 密 
协议 (Wireless Encryption Protocol)。WEP 包括 共享 密 钥 认证 和 数据 加 密 两 个 过 程 ， 前 者 使 得 
没有 正确 密 钥 的 用 户 无 法 访问 网 络 ， 后 者 则 要 求 所 有 数据 都 必须 用 密 文 传输 。 

认证 过 程 采用 了 标准 的 询问 /响应 方式 ，AP 运用 共享 密 钥 对 128 字 节 的 随机 序列 进行 加 密 
后 作为 询问 帧 发 给 用 户 ， 用 户 将 收 到 的 询问 帧 解密 后 以 明文 形式 响应 ，AP 将 收 到 的 明文 与 原 
始 随机 序列 进行 比较 ， 如 果 两 者 一 致 ， 则 认证 通过 。 有 关 WLAN 的 安全 问题 ， 将 在 下 面 进 一 

4) 电源 管理 

IEEE 802.11 允许 空闲 站 处 于 睡眠 状态 ， 在 同步 时 钟 的 控制 下 周期 性 地 唤醒 处 于 睡眠 态 的 
空闲 站 ， 由 AP 发 送 的 信 标 帧 中 的 TIM (业务 指示 表 ) 指示 是 否 有 数据 暂 存 于 AP， 若 有 ， 则 向 
AP 发 探 询 帧 ， 并 从 AP 接收 数据 ， 然 后 进入 睡眠 态 ， 若 无 ， 则 立即 进入 睡眠 态 。 

5.2.4 移动 Ad Hoc 网 络 

IEEE 802.11 标准 定义 的 Ad Hoc 网 络 是 由 无 线 移动 节点 组 成 的 对 等 网 , 无 须 网 络 基础 设施 
的 支持 , 能够 根据 通信 环境 的 变化 实现 动态 重 构 , 提供 基于 多 跳 无 线 连接 的 分 组 数据 传输 服务 。 


在 这 种 网 络 中 ， 每 一 个 节点 既是 主机 ， 又 是 路 由 器 ， 它 们 之 间 相 互 转发 分 组 ， 形 成 一 种 自 组 织 
的 MANET (Mobile Ad Hoc Network) 网 络 ， 如 图 5-21 所 示 。 


是 
| 


Ws 
i 
八 玉 填 、 , 
图 5-21 MANET 网 络 
Ad Hoc 是 拉丁 语 ， 具 有 “即兴 ， 临 时 ”的 意思 。MANET 网 络 的 部 署 非常 便捷 和 灵活 ， 因 
而 在 战场 网 络 、 传 感 器 网 络 、 灾 难 现场 和 车 辆 通信 等 方面 有 着 广泛 的 应 用 。 但 是 由 于 无 线 移动 
通信 的 特殊 性 ， 这 种 网 络 协议 的 研发 具有 巨大 的 挑战 性 。 


第 5 章 无 线 通信 网 S17BD 


与 传统 的 有 线 网 络 相 比 ，MANET 有 以 下 特点 : 
。 ”网 络 拓扑 结构 是 动态 变化 的 ， 由 于 无 线 终端 的 频繁 移动 ， 可 能 导致 节点 之 间 的 相互 位 
置 和 连接 关系 难以 维持 稳定 。 
。 无线 信道 提供 的 带宽 较 小 ， 而 信号 衰落 和 噪声 干扰 的 影响 却 很 大 。 由 于 各 个 终端 信号 
盖 范 围 的 差别 ， 或 者 地 形 地 物 的 影响 ， 还 可 能 存在 单 向 信道 。 
。 无线 终端 携带 的 电源 能 量 有 限 ， 应 采用 最 节能 的 工作 方式 ， 因 而 要 尽量 减 小 网 络 通信 
销 ， 并 根据 通信 距离 的 变化 随时 调整 发 射 功率 。 
es 由 于 无 线 链 路 的 开放 性 ， 容 易 招致 网 络 窍 听 、 欺 骗 、 拒 绝 服务 等 恶意 攻击 的 威胁 ， 所 
以 需要 特别 的 安全 防护 措施 。 
无 线 移动 自 组 织 网 络 中 还 有 一 种 特殊 的 现象 ， 这 就 是 隐蔽 终端 和 暴露 终端 问题 。 如 图 5-22 
所 示 ， 如 果 节 点 A 向 节点 B 发 送 数据 ， 则 由 于 节点 C 检测 不 到 A 发 出 的 载波 信号 ， 它 若 试图 
发 送 ， 就 可 能 干扰 节点 B 的 接收 。 所 以 对 A 来 说 ，C 是 隐蔽 终端 。 另 一 方面 ， 如 果 节 点 B 要 
向 节点 A 发 送 数据 ， 它 检测 到 节点 C 正在 发 送 ， 就 可 能 暂缓 发 送 过 程 。 但 实际 上 C 发 出 的 载 
波 不 会 影响 A 的 接收 ,在 这 种 情况 下 ， 节 点 C 就 是 暴露 终端 。 这 些 问题 不 仅 会 影响 数据 链 路 层 
的 工作 状态 ， 也 会 对 路 由 信息 的 及 时 交换 以 及 网 络 重 构 过 程 造成 不 利 的 影响 。 


So 


a 
图 5-22 ”隐蔽 终端 和 暴露 终端 


路 由 算法 是 MANET 网 络 中 重要 的 组 成 部 分 ， 由 于 上 述 特殊 性 ， 传 统 有 线 网 络 的 路 由 协议 
不 能 直接 应 用 于 MANET。IETF 于 1997 年 成 立 了 MANET 工作 组 ， 其 主要 工作 是 开发 和 改进 
MANET 路 由 规范 ， 使 其 能 够 支持 包含 上 百 个 路 由 器 的 自 组 织 网 络 ， 并 在 此 基础 上 开发 支持 其 
他 功能 的 路 由 协议 ， 例 如 支持 节能 、 安 全 、 组 播 、QoS 和 IPv6 的 路 由 协议 。MANET 工作 组 也 
负责 对 相关 的 协议 和 安全 产品 进行 实际 测试 。 

1. MANET 中 的 路 由 协议 


目前 , 已 经 提出 了 各 种 MANET 路 由 协议 , 用 户 可 以 根据 采用 的 路 由 策略 和 适应 的 网 络 结 
构 对 其 进行 分 类 。 根 据 路 由 策略 可 分 为 表 驱 动 的 路 由 协议 和 源 路 由 协议 ;根据 网 络 结构 可 以 划 
分 为 扁平 的 路 由 协议 、 分 层 的 路 由 协议 和 基于 地 理 信 息 的 路 由 协议 。 表 驱动 路 由 和 源 路 由 都 是 
扁平 的 路 由 协议 。 
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1) 扁平 的 路 由 协议 

这 一 类 路 由 协议 的 特点 是 参与 路 由 过 程 的 各 个 节点 所 起 的 作用 都 相同 。 根 据 设 计 原理 ， 扁 
平 的 路 由 协议 还 可 进一步 划分 为 先 验 式 〈 表 驱动 ) 路 由 和 反应 式 〈 按 需 分 配 ) 路由， 前 者 大 部 
分 是 基于 链 路 状态 算法 的 ， 而 后 者 主要 是 基于 距离 矢量 算法 的 。 

(1) 先 验 式 / 表 了 驱动 路 由 。 先 验 式 (Proactive) 路 由 是 表 驱 动 型 协议 ， 通 过 周期 地 交换 路 由 
信息 ， 每 个 节点 可 以 保存 完整 的 网 络 拓扑 结构 图 ， 因 而 可 以 主动 确定 网 络 布局 。 当 节点 需要 传 
输 数据 时 ， 这 种 协议 可 以 很 快 地 找到 路 由 方向 ， 适 合 于 时 间 关 键 的 应 用 。 这 种 协议 的 缺点 是 ， 
由 于 节点 的 移动 性 ， 路 由 表 中 的 链 路 信息 很 快 就 会 过 时 ， 链 路 的 生命 周期 非常 短 ， 因 而 路 由 开 
销 较 大 。 

先 验 式 路 由 协议 适合 于 节点 移动 性 较 小 ， 而 数据 传输 频繁 的 网 络 。 

(2) 反应 式 / 按 需 分 配 路 由 。 按 需 分 配 的 路 由 协议 提供 了 可 伸缩 的 路 由 解决 方案 。 其 主要 思 
想 是 ， 移 动 节点 只 是 在 需要 通信 时 才 发 送 路 由 请 求 分 组 ， 以 此 来 减少 路 由 开销 。 大 多 数 按 需 分 
配 的 路 由 协议 都 有 一 个 路 由 发 现 过 程 ， 这 时 需要 把 路 由 发 现 请 求 洪 泛 到 整个 网 络 中 去 ， 以 发 现 
到 达 目 标的 最 佳 路 由 ， 所 以 可 能 会 引起 一 定 的 通信 延迟 。 

2) 分 层 的 路 由 协议 

在 实际 应 用 中 出 现 了 越 来 越 大 的 Ad Hoc 网 络 。 有 研究 显示 ， 在 战场 网 络 和 灾难 现场 应 用 
中 ,通信 节点 数 可 能 超过 100 个 ， 同 时 发 送 的 源 节点 数 可 能 超过 40 个 ， 源 和 目标 节点 之 间 的 跳 
步 数 可 能 超过 10 个 。 当 网 络 规模 扩大 时 ， 扁 平 路 由 协议 产生 的 路 由 开销 迅速 增 大 ， 先 验 式 路 由 
会 由 于 周期 性 交换 路 链 路 状态 信息 而 消耗 太 多 的 带宽 ， 即 使 反应 式 路 由 ， 也 会 由 于 越 来 越 长 的 
数据 通路 需要 频繁 维护 而 产生 过 多 的 控制 开销 。 在 这 种 情况 下 ， 采 用 分 层 的 方案 是 一 种 较 好 的 
选择 。 例 如 ， 集 群 头 网 关 交 换 路 由 协议 (Clusterhead Gateway Switch Routing Protocol，CGSR) 
把 移动 节点 聚集 成 不 同 的 集群 (Cluster)， 每 一 个 集群 选 出 一 个 群集 头 。 传 送 数据 的 节点 只 与 所 
在 的 集群 头 通信 ， 处 于 不 同 集群 之 间 的 网 关节 点 负责 群集 头 之 间 的 数据 交换 。 这 个 协议 利用 了 
类 似 于 DSDYV 的 距离 矢量 算法 来 交换 路 由 信息 。 

3) 地 理 信息 路 由 协议 

如 果 参 照 GPS 或 其 他 固定 坐标 系统 来 确定 移动 节点 的 地 理 位置 ， 则 可 以 利用 地 理 坐 标 信 
息 来 设计 Ad Hoc 路 由 协议 ， 这 使 得 搜索 目标 节点 的 过 程 更 加 直接 和 有 效 。 这 种 协议 要 求 所 有 
的 节点 都 必须 及 时 地 访问 地 理 坐 标 系统 。 例 如 ， 地 理 寻 址 路 由 协议 〈Geographic Addressing and 
Routing,GeoCast) 由 3 种 部 件 构 成 :地 理 路 由 器 、 地 理 节点 和 地 理 主机 。 地 理 路 由 器 (GeoRouters) 
能 够 自动 检测 网 络 接口 的 类 型 ， 可 以 手工 配置 成 分 层 的 网 络 路 由 ， 其 作用 是 服务 于 它 所 管理 的 
多 边 形 区 域 ， 负 责 把 地 理 报 文 从 发 送 器 传送 到 接收 器 。 在 每 一 个 子 网 中 至 少 要 有 一 个 地 理 节 点 
(GeoNodes)， 其 作用 是 暂时 存储 进入 的 地 理 信息 ， 并 在 预订 的 生命 周期 内 将 其 组 播 到 所 在 的 子 
网 中 。 每 一 个 移动 节点 中 都 有 一 个 称 为 地 理 主机 (GeoHosts〉 的 守护 进程 ， 其 作用 是 把 地 理 信 
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息 的 可 用 性 通知 给 所 有 的 客户 进程 。 主 机 利用 这 些 地 理 信 息 进行 数据 传输 。 
2. DSDV 协议 


目标 排序 的 距离 矢量 协议 (Destination-Sequenced Distance Vector，DSDV) 是 一 种 扁平 式 
路 由 协议 。 这 是 由 传统 的 Bellman-Ford 算法 改进 的 距离 矢量 协议 ， 利 用 序列 号 机 制 解决 了 路 由 
环 路 问题 。DSDV 协议 是 由 Perkins 和 了 Bhagwat 于 1994 年 提出 的 一 种 基于 Bellman-Ford 算法 
的 表 驱 动 路 由 方案 ， 对 后 来 的 协议 设计 有 很 大 影响 。DSDYV 的 路 由 表 如 图 5-23 所 示 ， 表 项 中 包 
含 的 各 个 字段 的 解释 如 下 。 

。 Destination: 目标 节点 的 下 地 址 。 

。 Next Hop: 转发 地 址 。 

。 ”Hops/Metric: 度量 值 通常 以 跳 步 计数 。 

。 ”Sequnce Number: 序列 号 的 形式 为 “主机 名 _NNN”， 每 个 节点 维护 自己 的 序列 号 ， 从 

000 开始 ， 当 节点 发 送 新 的 路 由 公告 时 对 其 序列 号 加 2， 所 以 序列 号 通常 是 偶数 。 路 由 
表 中 的 序列 号 字段 是 由 目标 节点 发 送 而 来 的 ， 并 且 只 能 由 目标 节点 改变 ， 唯 一 的 例外 
情况 是 ， 本 地 节点 发 现 一 条 路 由 失效 时 将 目标 节点 的 序列 号 加 1， 使 其 成 为 奇数 。 

。 Install Time: 表示 路 由 表 项 创建 的 时 间 ， 用 于 删除 过 期 表 项 。 每 一 个 路 由 表 项 都 有 对 

应 的 生存 时 间 ， 如 果 在 生存 时 间 内 未 被 更 新 过 ， 则 该 表 项 会 被 自动 删除 。 
。 ”Stable Data: 指向 一 个 包含 路 由 稳定 信息 的 列表 , 该 表 由 目标 地 址 、 最 近 定制 时 间 (Last 
Setting Time〉 和 平均 定制 时 间 (Average Setting Time) 3 个 字段 组 成 。 


目标 地 址 | 下 一 跳 地 址 | 。 跳 步 数 序列 号 安装 时 间 _| 稳定 数据 


图 5-23 DSDYV 路 由 表 项 


DSDYV 节点 周期 性 地 广播 路 由 公告 , 但 是 在 出 现 新 链 路 或 者 老 链 路 断 开 时 立即 触发 链 路 公 
告 。 链 路 公告 有 两 种 形式 ， 一 种 是 广播 全 部 路 由 表 项 ， 称 为 完全 更 新 ， 这 种 方法 需要 多 个 分 组 
来 传送 路 由 信息 ， 开 销 比 较 大 ， 另 一 种 是 只 发 送 最 近 改 变 了 的 路 由 表 项 ， 叫 作 递增 式 更 新 ， 这 
种 方法 可 以 把 路 由 信息 包含 在 一 个 分 组 中 发 送 ， 产 生 的 开销 比较 小 。 

当 一 个 节点 接收 到 邻居 节点 发 送 的 路 由 公告 时 ， 根 据 下 列 规则 进行 路 由 更 新 : 对 应 于 某 个 
目标 的 路 由 表 项 ， 如 果 收 到 的 序列 号 比 路 由 表 中 已 有 的 序列 号 更 大 ， 则 更 新 现 有 的 路 由 表 项 ; 
如 果 收 到 的 序列 号 和 现 有 的 序列 号 相同 ， 但 度量 值 更 小 ， 也 要 更 新 现 有 的 路 由 表 项 ;否则 放弃 
收 到 的 路 由 更 新 公告 ， 维 持 现 有 的 路 由 表 项 不 变 。 
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这 种 机 制 可 以 排除 路 由 环 路 现象 。 这 是 因为 如 果 以 目标 节点 为 根 ， 建 立 一 棵 到 达 各 个 源 节 
点 的 最 小 生成 树 , 由 于 序列 号 是 由 目标 节点 改变 并 发 出 的 , 当 序 列 号 沿 着 各 个 树枝 向 下 传播 时 ， 
上 游 节点 中 的 序列 号 总 是 不 小 于 当前 节点 中 的 序列 号 ， 而 下 游 节点 中 的 序列 号 总 是 不 大 于 当前 
节点 中 的 序列 号 。 

DSDV 要 解决 的 另外 一 个 问题 是 路 由 波动 问题 。 如 图 5-24 所 示 ， 假 设 节点 A 先 收 到 了 从 
邻居 节点 B 发 来 的 路 由 更 新 报 文 <D 5 D_100>， 其 含义 是 B 到 达 DD 的 距离 是 5,，D 的 序列 号 是 
100， 则 和 A 更 新 了 它 的 路 由 表 项 ， 并 且 立 即 发 布 了 路 由 更 新 公告 。 但 很 快 A 又 收 到 了 从 邻居 节 
点 C 发 来 的 路 由 更 新 报 文 <D 4D_100>， 其 中 的 序列 号 相同 ， 但 距离 更 小 ， 所 以 A 又 要 更 新 路 
由 表 项 ， 并 且 又 要 发 布 路 由 更 新 公告 。 当 许多 节点 毫 无 规律 地 发 布 路 由 更 新 公告 时 ， 这 种 波动 
现象 就 会 出 现 ， 产 生 了 很 大 的 路 由 开销 。 


图 5-24 ”路 由 波动 的 例子 


为 了 解决 这 个 问题 ，DSDYV 采用 平均 定制 时 间 (Average Setting Time，AST) 来 决定 发 布 
路 由 公告 的 时 间 间 隔 , AST 表示 对 应 目标 节点 更 新 路 由 的 平均 时 间 间 隔 , 而 最 近 定 制 时 间 (Last 
Setting Time，LST) 则 是 最 近 一 次 更 新 路 由 的 时 间 间 隔 。 第 z 次 的 平均 定制 时 间 是 最 近 定 制 时 
间 与 前 n-1 次 的 平均 定制 时 间 的 加 权 平 均值 ， 即 
AST = 2LST “ AST ， 

显然 ， 越 是 最 近 的 定制 时 间 对 平均 定制 时 间 的 贡献 越 大 。 为 了 减少 路 由 波动 ， 节 点 可 以 等 
待 两 倍 的 AST, 时 间 再 发 送 路 由 公告 。 

下 面 举例 说 明 DSDYV 协议 的 操作 情况 。 假设 有 如 图 5-25 所 示 的 网 络 , 3 个 移动 节点 建立 了 
无 线 连 接 ， 则 各 个 节点 的 路 由 表 如 该 图 所 示 。 

如 果 节点 B 修改 了 它 的 序列 号 ， 并 发 送 路 由 公告 ， 则 节点 A 和 C 中 相应 的 路 由 表 项 就 要 
修改 ， 如 图 5-26 所 示 。 
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目标 | 下 一 跳 | 诬 最 值 | 序列 号 目标 | 下 一 跳 | 座 量 值 | 新 列 号 下 一 跳 | 度 景 值 ] 序列 号 
A A 0 |a4s0 A | 1 |A450 B | 2 |A450 
B B 1 |Bio0 B B | 0 |Bio0 B | 1 | B100 
© 2 | css> ce 1 | css C 


图 5-25 网 络 拓扑 和 路 由 表 


ATA_450 AI1A_450 
BoB_102 BoB_102 
CT1C_552 C1C_552 
A 下 B -~ C 
目标 | 下 一 跳 | 虚 量 值 | 序列 号 目标 | 下 一 跳 | 度量 值 | 序列 号 目标 | 下 一 跳 | 度量 值 | 序列 号 
A A 0 |A450 A A 1 | As4so A B 2 | A4s0 
B B 1 | Blo B B 0 | eloz B B 1 | Bl02 
C B 2 |css2 © C 1 | css C c 0 | cass 


图 5-26 序列 号 的 更 新 


如 果 网 络 中 出 现 了 新 的 移动 节点 D， 则 DD 广播 它 的 序列 号 ， 节 点 C 就 要 更 新 它 的 路 由 表 ， 
如 图 5-27 所 示 。 


2 C 收 到 D 广 播 的 
人 妆 饭 
的 路 由 表 
A B C 
Er CT EE EECOEE em [wlan ls] 
A | | [es A |] | [a A | | [a 
[|r| [em ss | ss |. [ew ns | | [ew 
ci ol: [es cl el [es ci el les 
5 | 5 | pm 


5-27 新 节点 出 现 
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然后 ， 节 点 C 发 布 路 由 公告 ， 节 点 B 都 修改 了 它们 的 路 由 表 ， 如 图 5-28 所 示 。 


A2A ts0 AAA 

B10 1 

Hs E033 

D1 Dm D1 D000 

A B = D 

EECOCEE ET Te ns] ET Er Cr Cz 
^ | ^ | 。 [ss | ^|^| A4so | | ^|。| FE ^ |e | [a 
| | [ow Ea [heheel aelaleo| 
ee] [es [ees| [Feeles| c|el [es 
|e | [oo 5 |] | [om 5 | | sw 


图 5-28 周期 性 发 布 路 由 更 新 公告 


如 果 节 点 D 移出 连 C 的 覆盖 范围 ， 则 C 和 了 D 之 间 的 无 线 连接 就 断 开 了 ，C 一 旦 检测 到 这 
种 情况 ， 立 即 触发 了 路 由 更 新 过 程 ， 如 图 5-29 所 示 。 


4 触发 才 增 更 煌 3. 般 发 间 增 更 新 
潮 一 一 基 
目标 | 下 一 片 | 度 熏 值 | 序列 时 目标 | 下 一 跳 | 压 生 值 | 序列 号 目标 | 下 一 跳 | 历 熏 值 | 序列 号 目标 | 下 一 上 | 府 量 值 | 序列 号 
A A 0 | As A A 1 | As4so A B 2 | Ass A 中 3 | 4.450 
B B 1 [Bo B B 0 [Bi0 B B 1 [Blo B a 2 | B_iom 
b 2 |esse 四 ec 1 | css 6 下 0 [ess e 1 | es 
D B D_ool D c Dol D D ”| po D D 0 | poo 


2 将 对 应 的 序列 号 加 一 ， 
使 其 成 为 厅 数 


图 5-29 连接 断 时 触发 路 由 更 新 
3. AODYV 协议 


按 需 分 配 的 距离 矢量 协议 (Ad hoc On-Demand Distance Vector，AODV) 也 是 一 种 扁平 式 
路 由 协议 , 但 是 采用 了 反应 式 路 由 策略 。 这 是 一 种 距离 矢量 协议 ,利用 类 似 于 DSDYV 的 序列 号 
机 制 解决 了 路 由 环 路 问题 , 但 它 只 是 在 需要 传送 信息 时 才 发 送 路 由 请 求 , 从 而 减少 了 路 由 开销 。 
AODYV 适合 于 快速 变化 的 Ad Hoc 网 络 环境 , 用 于 路 由 信息 交换 的 处 理 时 间 和 存储 器 开销 较 小 。 
RFC 3561 (2003) 定义 了 AODYV 的 协议 规范 。 
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AODYV 采用 了 类 似 于 DSDV 的 序列 号 机 制 ， 用 于 排除 一 般 距 离 矢量 协议 可 能 引起 的 路 由 
环 路 问题 。AODYV 的 路 由 表 项 由 下 列 字段 组 成 : 
。 目标 四 地 址 ; 
目标 子 网 掩 码 ; 
目标 序列 号 ; 
下 一 跳 他 地址 ; 
路 由 表 项 的 生命 周期 ; 
度量 值 / 跳 步 数 ; 
网 络 接口 ; 
其 他 的 状态 和 路 由 标志 。 
AODYV 是 一 种 按 需 分 配 的 路 由 协议 , 当 一 个 节点 需要 发 现 到 达 某 个 目标 节点 的 路 由 时 就 广 
播 路 由 请 求 (Route Request，RREQ) 报 文 ， 这 种 报 文 的 格式 如 图 5-30 所 示 。 


类 型 [RiGpp 保留 | 跳 步 数 


RREQ ID 
目标 IP 地 址 
目标 序列 号 
源 IP 地 址 
源 序 列 号 


类 型 置 为 1， 表 示 RREQ 

了 Join 标志 ， 用 于 组 播 

R Repair 标志 ， 用 于 组 播 

G Gratuitous 标志 ， 带 有 G 标志 的 报 文 必须 转发 到 目标 节点 
D Destination-only 标志 ， 只 有 目标 才能 响应 这 种 请 求 

U Unknown sequence number 标志 ， 表 明 目 标 序列 号 未 知 
跳 步 数 从 原 发 方 到 处 理 该 请 求 的 节点 的 跳 步 数 

RREQ ID 用 于 标识 该 报 文 的 唯一 序列 号 

目标 他 地 址 。 需要 发 现 路 由 的 目标 地 址 

目标 序列 号 最 近 曾 经 接收 到 的 目标 序列 号 

源 耳 地 址 原 发 方 的 耳 地 址 

源 序列 号 原 发 方 的 序列 号 


图 5-30 RREQ 报 文 


当 一 个 节点 接收 到 RREQ 请 求 时 ， 如 果 它 就 是 请 求 的 目标 ， 或 者 知道 到 达 目 标的 路 由 并 且 
其 中 的 目标 序列 号 大 于 RREQ 中 的 目标 序列 号 , 则 要 响应 这 个 请 求 ,向 发 送 RREQ 的 节点 返回 
( 单 播 ) 一 个 路 由 应 答 (Route Reply，RREP) 报 文 。 如 果 收 到 RREQ 报 文 的 节点 不 知道 该 目标 
的 路 由 ， 则 它 要 重新 广播 RREQ 请 求 ， 并 且 记 录 发 送 RREQ 报 文 的 节点 地 址 及 其 广播 序列 
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号 (RREQ ID)。 如果 收 到 的 RREQ 报 文 已 经 被 处 理 过 了 , 则 丢弃 该 报 文 , 不 再 进行 转发 。 RREP 


的 格式 如 图 5-31 所 示 。 
类 型 RIA| 保留 前 组 长 度 跳 步 数 

RREQ ID 
目标 IP 地 十 
目标 序列 号 
源 IP 地 址 
生命 周期 

类 型 置 为 2， 表 示 RREP 

R Repair 标志 ， 用 于 组 播 

A Ack 标志 ， 表 明 该 报 文 需要 确认 

前 缀 长 度 如 果 非 0， 这 5 位 定义 了 一 个 地 址 前 级 的 长 度 

跳 步 数 从 原 发 方 到 目标 节点 的 跳 步 数 


目标 耳 地 址 需要 发 现 路 由 的 目标 地 址 
目标 序列 号 最 近 接 收 到 的 目标 序列 号 
源 他 地 址 原 发 方 的 下 地址 

生命 周期 以 微 秒 计数 的 生命 周期 


图 5-31 RREP 报 文 


当 RREP 报 文中 的 前 级 长 度 非 0 时 ， 这 5 位 定义 了 一 个 地 址 前 缀 的 长 度 ， 该 地 址 前 绥 与 目 
标 正 地 址 共同 确定 了 一 个 子 网 。 作 为 子 网 路 由 器 , 发 送 RREP 报 文 的 节点 必须 保存 有 关 该 子 网 
的 全 部 路 由 信息 , 而 不 仅 是 单个 目标 节点 的 路 由 信息 。 如 果 传送 RREP 报 文 的 链 路 是 不 可 靠 的 ， 
或 者 是 单 向 链 路 ， 则 RREP 中 的 A 标志 置 1， 这 种 报 文 的 接收 者 必须 返回 一 个 应 答 报 文 
RREP-ACK。 

如 果 监 控 下 一 跳 链 路 状态 的 节点 发 现 链 路 中 断 ， 则 设置 该 路 由 为 无 效 ， 并 发 出 路 由 错误 
(Route Emror，RERR) 报 文 ， 通 知 其 他 节点 这 个 目标 已 经 不 可 到 达 了 。 收 到 RERR 报 文 的 源 节 
点 如 果 还 要 继续 通信 ， 则 需 重 新 发 现 路 由 。RERR 报 文 的 格式 如 图 5-32 所 示 。 


类 型 ”和 | 保留 不 可 到 达 的 目标 数 
不 可 到 达 的 目标 IP 地 址 (1) 
不 可 到 达 的 日 标 序列 号 0 
另外 的 不 可 到 达 的 目标 IP 地 址 
另外 的 不 可 到 达 的 目标 序列 号 


类 型 置 为 3， 表 示 RERR 
N 非 删除 标志 ， 通 知 上 游 节点 不 得 删除 该 路 由 ， 等 待 修复 


5-32 RERR 报 文 


第 5 章 “无 线 通 售 由“ 国 16 荐 


AODYV 协议 也 适用 于 组 播 网 络 。 当 一 个 节点 希望 加 入 组 播 组 时 ， 它 就 发 送 标志 置 1 的 
RREQ 请 求 ， 其 中 的 目标 正 地 址 设置 为 组 地 址 。 接 收 到 这 种 请 求 的 节点 如 果 是 组 播 树 成 员 ， 并 
且 保 存 的 目标 序列 号 比 RREQ 中 的 目标 序列 号 更 大 ， 则 要 回答 一 个 RREP 分 组 。 在 RREP 返回 
源 节点 的 过 程 中 ， 转 发 该 报 文 的 节点 要 设置 它们 组 播 路 由 表 中 的 指针 。 当 源 节点 收 到 RREP 报 
文 时 ， 它 就 选取 序列 号 更 大 并 且 跳 步 数 更 小 的 路 由 。 在 路 由 发 现 过 程 结 束 后 ， 源 节点 向 其 选择 
的 下 一 跳 节 点 单 播 一 个 组 播 活动 (Multicast Activation，MACT) 报 文 ， 其 作用 是 激活 选择 的 组 
播 路 由 。 没 有 收 到 MACT 报 文 的 节点 则 删除 组 播 路 由 指针 。 如 果 一 个 还 不 是 组 播 树 成 员 的 节点 
收 到 了 MACT 报 文 ， 也 要 跟踪 RREP 报告 的 最 佳 路 由 ， 并 且 向 它 的 下 一 跳 节 点 单 播 MACT， 
直到 连接 到 了 一 个 组 播 树 的 成 员 节点 为 止 。 


5.2.5 IEEE 802.11 的 新 进展 


无 线 局 域 网 面临 着 两 个 主要 问题 ， 一 是 增强 安全 性 ， 二 是 提高 数据 速率 ， 前 者 对 无 线 网 比 
有 线 网 更 加 重要 ， 也 更 难以 解决 。 近 年 来 在 这 些 方面 的 研发 都 有 了 新 的 进展 。 


1. WLAN 的 安全 


在 无 线 局 域 网 中 可 以 采用 下 列 安全 措施 。 

1) SSID 访问 控制 

在 无 线 局 域 网 中 ， 可 以 对 各 个 无 线 接 入 点 (AP) 设置 不 同 的 SSID (Service Set Identifier )， 
这 是 最 多 由 32 个 字符 组 成 的 字符 串 。 一 般 的 无 线路 由 器 都 提供 “允许 SSID 广播 ”功能 ， 被 广 
播 出 去 的 SSID 会 出 现在 用 户 搜 索 到 的 可 用 网 络 列表 中 。 值 得 注意 的 是 ， 同 一 厂商 生产 的 无 线 
路 由 器 (或 AP) 都 使 用 了 相同 的 SSID， 为 了 保护 自己 的 网 络 不 被 非法 接 入 ， 应 修改 成 个 性 化 
的 SSID 名 字 。 当 然 ， 也 可 以 禁用 SSID 广播 ， 这 样 ， 无 线 网 络 仍然 可 以 使 用 ， 但 是 不 会 出 现在 
其 他 人 搜索 到 的 可 用 网 络 列表 中 。 

2) 物理 地 址 过 滤 

另外 一 种 访问 控制 方法 是 MAC 地 址 过 滤 。 每 个 无 线 网 卡 都 有 唯一 的 MAC 地 址 ， 可 以 在 
无 线路 由 器 中 维护 一 组 允许 访问 的 MAC 地 址 列表 ， 用 于 实现 物理 地 址 过 滤 功 能 。 这 个 方案 要 
求 无 线路 由 器 中 的 MAC 地 址 列表 必须 经 常 更 新 , 用 户 数量 多 时 维护 工作 量 很 大 。 更 重要 的 是 ， 
MAC 地 址 可 以 伪造 ， 所 以 这 是 级 别 比较 低 的 认证 功能 。 

3) 有 线 等 效 保密 

有 线 等 效 保密 (Wired Equivalent Privacy，WEP) 是 IEEE 802.11 标 准 的 一 部 分 ， 其 设计 目 
的 是 提供 与 有 线 局 域 网 等 价 的 机 密 性 。WEP 使 用 RC4 协 议 进行 加 密 ， 并 使 用 CRC-32 校 验 保证 
数据 的 正确 性 。 

RC4 是 一 种 流 加 密 技 术 ， 其 加 密 过 程 是 对 同样 长 度 的 密 钥 流 与 报 文 进行 “ 异 或 ”运算 ， 从 
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而 计算 出 密 文 。 为 了 安全 ， 要 求 密 钥 流 不 能 重复 使 用 。 在 WEP 中 使 用 了 每 次 都 不 同 的 初始 向 
量 IV (Initialization Vector) 与 用 户 指定 的 固定 字符 串 来 生成 变化 的 密 钥 流 。 

最 初 的 WEP 标准 使 用 24 位 的 初始 向 量 ， 加 上 40 位 的 字符 串 ， 构 成 64 位 的 WEP 密 钥 。 
后 来 美国 政府 放宽 了 出 口 密 钥 长 度 的 限制 ， 允 许 使 用 104 位 的 字符 串 ， 加 上 24 位 的 初始 向 量 ， 
构成 128 位 的 WEP 密 钥 .通常 的 情况 是 , 用 户 指定 26 个 十 六 进 制 数 的 字符 串 (4X26 =104 位 )， 
再 加 上 系统 给 出 的 24 位 TV， 就 构成 了 128 位 的 WEP 密 钥 。 然 而 24 位 的 IV 并 没有 长 到 足以 
保证 不 会 出 现 重 复 。 事实 上 ， 只 要 网 络 足够 忙 ， 在 很 短 的 时 间 内 就 会 耗 尽 可 用 的 IV 而 使 其 出 
现 重 复 ， 这 样 WEP 密 钥 也 就 重复 了 。 

密 钥 长 度 还 不 是 WEP 安全 性 的 主要 缺陷 ， 破 解 较 长 的 密 钥 当 然 需 要 捕获 较 多 的 数据 包 ， 
但 是 有 某 些 主动 式 攻击 可 以 激发 足够 多 的 流量 。WEP 还 有 其 他 缺陷 ， 包 括 IV 雷同 的 可 能 性 以 
及 编造 的 数据 包 等 ， 对 这 些 攻击 采用 长 一 点 的 密 钥 根本 没有 用 。 

WEP 虽然 有 这 些 漏洞 ， 但 也 足以 阻止 非 专 业 人 士 的 窥探 了 。 

4) WPA 

Wi-Fi (Wireless Fidelity) 是 无 线 通 信 技 术 的 商标 ， 由 Wi-Fi 联盟 (Wi-Fi Alliance) 所 持 有 ， 
使 用 在 经 过 认证 的 IEEE 802.11 产 品 上 ， 其 目的 是 改善 基于 IEEE 802.11 标准 的 网 络 产品 之 间 的 
兼容 性 。 

无 线 网 络 中 的 安全 问题 从 暴露 到 最 终 解 决 经 历 了 相当 长 的 时 间 。 在 这 期 间 ，Wi-Fi 联 盟 的 
厂商 们 迫不及待 地 以 802.11i 草案 的 一 个 子 集 为 蓝图 制定 了 称 为 WPA (Wi-Fi Protected Access) 
的 安全 认证 方案 ， 以 便 在 市 场 上 及 时 推出 新 的 无 线 网 络 产品 。 

在 WPA 的 设计 中 包含 了 认证 、 加 密 和 数据 完整 性 校 验 3 个 组 成 部 分 。 首 先是 WPA 使 用 了 
802.1x 协议 对 用 户 的 MAC 地 址 进行 认证 ; 其 次 是 WEP 增 大 了 密 钥 和 初始 向 量 的 长 度 ， 以 128 
位 的 密 钥 和 48 位 的 初始 向 量 (IV) 用 于 RC4 加 密 。WPA 还 采用 了 可 以 动态 改变 密 钥 的 临时 密 
钥 完整 性 协议 TKIP(Temporary Key Integrity Protocol), 通过 更 频繁 地 变换 密 钥 来 减少 安全 风险 。 
最 后 ，WPA 强化 了 数据 完整 性 保护 。WEP 使 用 的 循环 元 余 校 验方 法 具有 先天 性 缺陷 ， 在 不 知 
道 WEP 密 钥 的 情况 下 ， 如 果 要 算 改 分 组 和 对 应 的 CRC 也 是 可 能 的 。WPA 使 用 报 文 完 整 性 编 
码 来 检测 伪造 的 数据 包 ， 并 且 在 报 文 认证 码 中 包含 有 帧 计数 器 ， 还 可 以 防止 重 放 攻击 。 

在 IEEE 802.11i 标准 发 布 后 ，Wi-Fi 联盟 就 按照 新 的 安全 标准 对 无 线 产 品 进行 了 认证 ， 并 
且 把 这 种 认证 方案 称 为 WPA2。 

5) IEEE 802.11i 

2004 年 6 月 正式 生效 的 IEEE 802.11i 标准 是 对 WEP 的 改进 ,为 WLAN 提供 了 新 的 安全 技 
术 。IEEE 802.11i 标准 包含 以 下 3 个 方面 的 安全 部 件 : 

。 临时 密 钥 完整 性 协议 TKIP 是 一 个 短期 的 解决 方案 ， 仍 然 使 用 RC4 加 密 方法 ， 但 是 弥 

补 了 WEP 的 安全 缺陷 。TKIP 把 密 钥 交换 过 程 中 分 解 出 来 的 组 临时 密 钥 GTK 作为 基 
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础 密 钥 ， 为 每 个 报 文生 成 一 个 新 的 加 密 密 钥 ， 通 过 这 种 方式 改进 了 数据 报 文 的 完整 性 
和 可 信任 性 。TKIP 可 用 于 老 的 802.11 设备 ， 但 是 需要 升级 原来 的 驱动 程序 。 

。 重新 制定 了 新 的 加 密 协议 ， 称 为 CBC-MAC 协议 的 计时 器 模式 〈Counter Mode with 
CBC-MAC Protocol，CCMP)。 这 是 基于 高 级 加 密 标准 AES (Advanced Encryption 
Standard) 的 加 密 方法 。AES 是 一 种 对 称 的 块 加 密 技术 ， 使 用 128 位 的 密 铀 ， 提 供 比 
RC4 更 强 的 加 密 性 能 。 由 于 AES 算法 要 求 的 计算 强度 比 RC4 大 ， 所 以 需要 新 的 硬件 
支持 。 有 的 驱动 器 采用 软件 实现 CCMP。 

。 无 论 使 用 TKIP 还 是 CCMP 进行 加 密 ， 身 份 认证 都 是 必要 的 。802.1x 是 一 种 基于 端口 
的 身份 认证 协议 。 当 无 线 工 作 站 与 AP 关联 后 ,是 否 可 以 使 用 AP 的 服务 要 取决 于 802.1x 
的 认证 结果 。 如 果 认 证 通过 ， 则 AP 为 无 线 工作 站 打开 一 个 逻辑 端口 。 这 种 认证 方案 
要 求 无 线 工 作 站 安装 802.1x 客户 端 软件 , 无 线 访问 点 要 内 嵌 802.1x 认证 代理 , 同时 它 
还 可 以 作为 Radius 客户 端 ， 将 用 户 认证 信息 转发 给 Radius 服务 器 。 

可 扩展 的 认证 协议 EAP (Extensible Authentication Protocol) 是 一 种 专门 用 于 认证 的 传输 协 

议 ， 而 不 是 认证 方法 本 身 。 或 者 说 ，EAP 是 一 种 认证 框架 ， 用 于 支持 多 种 认证 方法 。EAP 直接 
运行 在 数据 链 路 层 ， 例 如 PPP 或 IEEE 802 网 络 ， 而 不 需要 了 正 支持。 一 些 常 用 的 认证 机 制 简 述 
如 下 : 

。 ”EAP-MD5。 要 求 传送 用 户 名 和 口令 字 ， 并 用 MDS5 进行 加 密 ， 这 种 方法 类 似 于 PPP 的 
CHAP 协议 ， 由 于 不 能 抗拒 字典 攻击 ， 也 不 能 提供 相互 认证 和 密 钥 导出 机 制 ， 因 而 在 
无 线 网 中 很 少 采 用 。 

。 Lightweight EAP (LEAP)。 轻 量 级 EAP 要 求 把 用 户 名 和 口令 字 发 送 给 Radius 认证 服 
务 器 ， 这 是 Cisco 公司 的 专利 协议 ， 被 认为 不 是 很 安全 。 

。 ”EAP-TLS。 利 用 传输 层 安 全 协议 TLS 来 传送 认证 报 文 ， 用 户 和 服务 器 都 需要 X.509 证 
书 ， 这 种 方法 可 以 提供 双向 认证 RFC2716)。 

此 外 ，802.11i 还 提供 了 一 种 任 选 的 加 密 方案 WARP (Wireless Robust Authentication 
Protocol)。WARP 原来 是 为 802.11i 制定 的 基于 AES 的 加 密 协 议 ， 但 是 由 于 知识 产权 的 纠纷 ， 
后 来 就 被 CCMP 代替 了 。 支 持 WARP 是 任 选 的 ， 但 是 支持 CCMP 是 强制 的 。 

802.11i 还 实现 了 一 种 动态 密 钥 交 换 和 管理 体制 .用 户 通过 认证 后 从 认证 服务 器 得 到 一 个 主 
密 钥 MK (Master Key)。 然 后 经 过 一 系列 的 推导 过 程 ， 用 户 与 AP 之 间 会 生成 一 对 组 瞬时 密 钥 
GTK (Group Transient Key)， 用 于 组 播 和 广播 通信 。 实 际 通信 过 程 中 的 数据 加 密 密 钥 则 是 根据 
每 包 一 密 (per-packet key construction) 的 方案 由 GTK 生成 的 新 密 钥 。 

对 于 小 型 办 公 室 和 家 庭 应 用 ， 可 以 使 用 预 共 享 密 钥 PSK (Pre-Shared Key) 的 方案 ， 这 样 
就 可 以 省 去 802.1x 认证 和 密 钥 交 换 过 程 了 。256 位 的 PSK 由 给 定 的 口令 字 生 成 , 用 作 上 述 密 钥 
管理 体制 中 的 主 密 钥 MK。 整 个 网 络 可 以 共享 同一 个 PSK， 也 可 以 每 个 用 户 专用 一 个 PSK， 这 
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样 更 安全 。 
2. WLAN 的 传输 速率 


自从 1997 年 IEEE 802.11 标准 实施 以 来 , 先后 有 二 十 几 个 标准 出 台 , 其 中 , 802.11a、802.11b 
和 802.11g 采 用 了 不 同 的 通信 技术 ， 使 得 数据 传输 速率 不 断 提 升 。 但 是 与 有 线 网 络 相 比 ， 仍 然 存 
在 一 定 的 差距 。 随 着 2009 年 9 月 11 日 IEEE 802.11n 标 准 的 正式 发 布 ,这 一 差距 正在 缩小 .802.11n 
可 以 将 WLAN 的 传输 速率 由 目前 802.11a/802.11g 的 54Mbps 提高 到 300Mbps， 甚 至 600Mbps。 
这 个 成 就 主要 得 益 于 MIMO 与 OFDM 技术 的 结合 。 应 用 先进 的 无 线 通信 技术 ， 不 仅 提高 了 传 
输 速率 ， 也 极 大 地 提升 了 传输 质量 。 

正 交 频 分 复 用 (Orthogonal Frequency Division Multiplexing，OFDM) 是 一 种 多 载波 调制 
(Multi Carrier Modulation，MCM) 技术 。 其 主要 思想 是 将 信道 划分 成 若干 个 正 交 子 信道 ， 将 高 
速 数据 信号 转换 成 并 行 的 低速 子 数据 流 ， 并 将 各 个 子 数据 流 交 织 编码 ， 调 制 到 正 交 的 子 信 道上 
进行 传输 ， 在 接收 端 采用 相关 技术 可 以 将 正 交 信号 再 分 开 。 这 种 传输 方式 减少 了 子 信 道 之 间 的 
相互 干扰 ， 使 信道 均衡 变 得 相对 容易 。OFDM 具有 较 高 的 频谱 利用 率 ， 并 且 在 抵抗 多 径 效 应 、 
频率 选择 性 衰减 和 窄带 干扰 上 具有 明显 的 优势 。 

实现 OFDM 技术 需要 数字 处 理 功能 强大 的 计算 设备 。20 世纪 80 年 代 ， 数 字 集 成 电路 的 迅 
狐 发 展 使 得 快速 传 立 叶 变换 (FFT) 的 实现 变 得 相对 容易 ，OFDM 逐步 走向 了 移动 通信 领域。 
今天 ，OFDM 广泛 用 于 各 种 数字 通信 系统 中 ， 例 如 移动 无 线 FM 信道 、 数 字 用 户 线 路 系统 
(xDSL)、 数 字音 频 广播 (DAB)、 数 字 视 频 广 播 (DVB) 和 HDTV 地 面 传播 系统 ， 以 及 无 线 城 
域 网 和 第 三 代 移动 通信 (3G) 系统 中 。 

为 了 进一步 提高 带宽 利用 率 ，802.11i 还 引入 了 多 入 多 出 〈Multiple Input Multiple Output， 
MIMO) 技术 。MIMO 是 通过 多 径 无 线 信道 实现 的 ， 传 输 的 信息 流 经 过 空 时 编码 (Space Time 
Block Code，STBC) 形成 YX 个 子 信息 流 ， 由 个 天 线 发 射出 去 ， 经 空间 信道 传输 后 由 M 个 接 
收 天 线 接收 。 多 天 线 接收 机 利用 先进 的 空 时 编码 处 理 功能 对 数据 流 进行 分 离 和 解码 ， 从 而 实现 
最 佳 的 处 理 结果 。 无 线 MIMO 系统 可 以 极 大 地 提高 频谱 利用 率 ， 采 用 MIMO 技术 的 WLAN 在 
室内 环境 下 的 频谱 效率 可 以 达到 20~40bps/Hz， 而 使 用 传统 无 线 通信 技术 的 移动 蜂窝 系统 的 频 
谱 效率 仅 为 1 一 Sbps/Hz， 即 使 在 点 对 点 的 固定 微波 系统 中 也 只 有 10 一 12bpsHz。 应 用 MIMO 
的 WLAN 也 能 与 已 有 的 WLAN 标准 兼容 。 

802.11n 采用 的 智能 天 线 技术 还 扩大 了 覆盖 范围 ， 通 过 多 组 独立 天 线 组 成 的 天 线 阵列 可 以 
动态 地 调整 波束 ， 保 证 WLAN 用 户 能 接收 到 稳定 的 信号 ， 并 减少 其 他 信号 的 干扰 。 

802.1ln 还 采用 了 一 种 软件 无 线 电 技术 。 在 一 个 可 编程 的 硬件 平台 上 ， 不 同系 统 的 基站 和 
终端 都 可 以 通过 不 同 的 软件 实现 互 连 互通 。 这 使 得 802.11n 不 仅 能 实现 向 前 兼容 ， 还 可 以 实现 
WLAN 与 第 三 代 无 线 广域网 (3G) 的 互 连 互通 。 
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5.3 ”无线 个 人 网 


IEEE 802.15 工作 组 负责 制定 无 线 个 人 网 (Wireless Personal Area Network，WPAN) 的 技术 
规范 。 这 是 一 种 小 范围 的 无 线 通信 系统 , 覆盖 半径 仅 10m 左右 , 可 用 来 代替 计算 机 、 手 机 、PDA、 
数码 相机 等 智能 设备 的 通信 电缆 ， 或 者 构成 无 线 传感器 网 络 和 智能 家 庭 网 络 等 。WPAN 并 不 是 
一 种 与 无 线 局 域 网 C(WLAN) 竞争 的 技术 ，WLAN 可 替代 有 线 局 域 网 ， 而 WPAN 无 须 基础 网 
络 连接 的 支持 ， 只 能 提供 少量 小 型 设备 之 间 的 低速 率 连 接 。 

IEEE 802.15 工作 组 划分 成 4 个 任务 组 ， 分 别 制定 适合 不 同 应 用 环境 的 技术 标准 。802.15.1 
采用 了 蓝牙 技术 规范 , 这 是 最 早 实现 的 面向 低速 率 应 用 的 WPAN 标准 , 主要 开发 工作 由 蓝牙 专 
业 组 (SIG) 负责。 

802.15.2 对 蓝牙 网 络 与 802.11b 网 络 之 间 的 共存 提出 了 建议 。 这 两 种 网 络 都 采用 了 免 许可 
证 的 2.4GHz 频段 ， 它 们 之 间 会 产生 通信 干扰 ， 要 在 共享 环境 中 协同 工作 ， 必 须 采 用 802.15.2 
提出 的 交替 无 线 介质 访问 CAWMA) 和 分 组 通信 仲裁 (PTA) 方案 。 

802.15.3 把 目标 瞄准 了 低 复杂 性 、 低 价格 、 低 功 耗 的 消费 类 电子 设备 ,为 其 提供 至 少 20Mbps 
的 高 速 无 线 连 接 。2003 年 8 月 批准 的 IEEE 802.15.3 采用 64-QAM 调制 ,数据 速率 高 达 55 Mbps， 
适合 于 在 短 时 间 内 传送 大 量 的 多 媒体 文件 。 

在 人 手 可 及 的 范围 内 ， 多 个 电子 设备 可 以 组 成 一 个 无 线 Ad Hoc 网 络 ，802.15 把 这 种 网 络 
叫 作 piconet， 通 常 翻译 为 微微 网 。802.15.3 给 出 的 piconet 网 络 模 型 如 图 5-33 所 示 。 这 种 网 络 
的 特点 是 各 个 电子 设备 (DEV) 可 以 独立 地 互相 通信 ， 其 中 一 个 设备 可 以 作为 通信 控制 的 协调 
器 PNC (piconet coordinator)， 人 负责 网 络 定时 和 向 DEV 发 放 令 牌 (beacon)， 获 得 令 牌 的 DEV 
才 可 以 发 送 通信 请 求 。PNC 还 具有 管理 QoS 需求 和 调节 电源 功 耗 的 功能 。IEEE 802.15.3 定义 
了 微微 网 的 介质 访问 控制 协议 和 物理 层 技术 规范 ， 适 合 于 多 媒体 文件 传输 的 需求 。 


图 5-33 ”piconet 网 络 模 型 
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802.15.4 瞄准 了 速率 更 低 、 距 离 更 近 的 无 线 个 人 网 。802.15.4 标准 适合 于 固定 的 、 手 持 的 
或 移动 的 电子 设备 ， 这 些 设备 的 特点 是 使 用 电池 供电 ， 电 池 寿 命 可 以 长 达 几 年 时 间 ， 通 信 速 率 
可 以 低 至 9.6kbps， 从 而 实现 低 成 本 的 无 线 通信 。802.15.4 标准 的 研发 工作 主要 由 ZigBee 联盟 
来 做 。 所 谓 ZigBee 是 指 蜜蜂 跳 的 “之 ”字形 舞蹈 ， 蜜 蜂 用 跳舞 来 传递 信息 ， 告 诉 同伴 蜜源 的 位 
置 。 “ZigBee” 形 象 地 表达 了 通过 网 络 节点 互相 传递 , 将 信息 从 一 个 节点 传输 到 远 处 另外 一 个 节 
点 的 通信 方式 。 

下 面 就 目前 应 用 较 多 的 IEEE 802.15.1 和 802.15.4 两 个 标准 展开 讨论 。 


5.3.1 蓝牙 技术 


公元 10 世纪 时 的 丹麦 国王 Harald Blatand Gormsson (958 一 986/987) 史 称 蓝牙 王 ， 因 为 他 
爱 吃 蓝 草莓 ， 牙 齿 变 成 了 蓝 色 。 他 就 是 出 身 海 盗 家 庭 的 哈 拉 尔 德 ， 主 要 成 就 是 统一 了 丹麦 、 挪 
威 和 瑞典 ， 建 立 了 强大 的 维 京王 国 。 

1998 年 5 月 ， 爱 立信 、IBM、Intel、 东 芝 和 诺基亚 5 家 公司 联合 推出 了 一 种 近 距 离 无 线 数 
据 通信 技术 ， 其 目的 被 确定 为 实现 不 同 工 业 领 域 之 问 的 协调 工作 ， 例 如 可 以 实现 计算 机 、 无 线 
手机 和 汽车 电话 之 问 的 数据 传输 。 行 业 组 织 人 员 用 哈 拉 尔 德国 王 的 外 号 来 命名 这 项 新 技术 ， 取 
其 “统一 ”的 含义 ， 这 样 就 诞生 了 “蓝牙 ”(Bluetooth) 这 一 极 具 表现 力 的 名 字 。 后 来 成 立 的 蓝 
牙 技术 专业 组 〈SIG) 负责 技术 开发 和 通信 协议 的 制定 ，2001 年 ， 蓝 牙 1.1 版 被 颁布 为 IEEE 
802.15.1 标准 。 同 年 ， 加 盟 蓝牙 SIG 的 成 员 公司 超过 2000 家 。 


1， 核心 系统 体系 结构 


根据 IEEE 802.15.1-2005 版 描述 的 MAC 和 PHY 技术 规范 , 蓝牙 核心 系统 的 体系 结构 如 图 
5-34 所 示 。 最 下 面 的 Radio 层 相当 于 OSI 的 物理 层 ， 其 中 的 RF 模块 采用 2.4GHz 的 ISM 频段 
实现 跳 频 通信 (FHSS)， 信 号 速率 为 Mbps， 数 据 速率 为 IMbps。 

在 多 个 设备 共享 同一 物理 信道 时 ， 各 个 设备 必须 由 一 个 公共 时 钟 同步 ， 并 调整 到 同样 的 跳 
频 模式 。 提 供 同步 参照 点 的 设备 叫 作 主 设备 ， 其 他 设备 则 是 从 设备 。 以 这 种 方式 取得 同步 的 一 
组 设备 构成 一 个 微微 网 ， 这 是 蓝牙 技术 的 基本 组 网 模式 。 

微微 网 中 的 设备 采用 的 具体 跳 频 模式 由 设备 地 址 字段 指明 的 算法 和 主 设备 的 时 钟 共同 决 
定 。 基 本 的 跳 频 模式 包含 由 伪 随 机 序列 控制 的 79 个 频率 。 通 过 排除 干扰 频率 的 自 适应 技术 可 
以 改进 通信 效率 ， 并 实现 与 其 他 ISM 频段 设备 的 共存 。 

物理 信道 被 划分 为 时 槽 ， 数 据 被 封装 成 分 组 ， 每 个 分 组 占用 一 个 时 槽 。 如 果 情 况 允 许 ， 一 
系列 连续 的 时 槽 可 以 分 配给 单个 分 组 使 用 。 在 一 对 收发 设备 之 间 可 以 用 时 分 多 路 (TID) 方式 
实现 全 双 工 通信 。 
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数据 控制 数据 控制 -一 > U 平面 数据 通信 
C 平面 控制 服务 


诞 路 管理 器 


基带 实 源 管理 器 


链 路 控制 器 | 
Radio 
Radio 层 RF 人 


图 5-34 ”蓝牙 核心 系统 体系 结构 


物理 信道 之 上 是 各 种 链 路 和 信道 层 及 其 有 关 的 协议 。 以 物理 信道 为 基础 ， 向 上 依次 形成 的 
信道 层次 为 物理 信道 、 物 理 链 路 、 罗 辑 传输 、 罗 辑 链 路 和 L2CAP (Logical Link Control and 
Adaptation Protocol) 信道 ， 如 图 5-35 所 示 。 


L2CAP 信 道 之 L2CAP 层 
a | ) Sp 
Ss 捍 辑 层 
再 办 传输 
物理 甸 路 
六 物理 层 
询问 呼叫 基本 自 适 应 
物理 信道 。 | 性 失 信道 | | 扫描 信道 | | 币 孜 同 信道 | | 向 修 同 信道 


ACL 一 Asynchronous Connection-oriented Logical transport 
SCO 一 Synchronous Connection-Oriented 

eSCO 一 extended SCO 

ASB 一 Active Slave Broadcast (无 连接 

PSB 一 Parked Slave Broadcast (无 连接 ) 


图 5-35 ”传输 体系 结构 实体 及 其 层次 
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在 物理 信道 的 基础 上 ， 可 以 在 一 个 从 设备 和 主 设 备 之 间 生 成 物理 链 路 。 一 条 物理 链 路 可 以 
支持 多 条 迪 辑 链 路 ， 只 有 迪 辑 链 路 才 可 以 进行 单 播 同 步 通 信 、 异 步 等 时 通信 或 者 广播 通信 ， 不 
同 的 逻辑 链 路 用 于 支持 不 同 的 应 用 需求 。 罗 辑 链 路 的 特性 由 与 其 相关 联 的 逻辑 传输 决定 。 所 谓 
的 逻辑 传输 实际 上 是 逻辑 链 路 传输 特性 的 形式 表现 ， 不 同 的 逻辑 传输 在 流量 控制 、 应 答 和 重 传 
机 制 、 序 列 号 编码 以 及 调度 行为 等 方面 有 所 区 别 ， 用 于 支持 不 同类 型 的 逻辑 链 路 。 异 步 面 向 连 
接 的 迪 辑 传输 ACL 用 来 传送 管理 信 令 ， 而 同步 面向 连接 的 多 辑 传输 SCO 用 于 传送 64kbps 的 
PCM 话音 。 具 有 其 他 特性 的 逻辑 传输 用 来 支持 各 种 单 播 的 和 广播 的 、 可 靠 的 和 不 可 靠 的 、 分 组 
的 和 不 分 组 的 数据 流 。 

基带 层 和 物理 层 的 控制 协议 叫 作 链 路 管理 协议 LMP (Link Manager Protocol)， 用 于 控制 设 
备 的 运行 ， 并 提供 底层 设施 (PHY 和 BB) 的 管理 服务 。 每 个 处 于 活动 状态 的 设备 都 具有 一 个 
默认 的 ACL 用 于 支持 LMP 信 令 的 传送 。 默 认 的 ACL 是 当 设备 加 入 微微 网 时 随即 产生 的 ， 需 
要 时 可 以 动态 生成 一 条 逻辑 传输 来 传送 同步 数据 流 。 

逻辑 链 路 控制 和 自 适 应 协议 L2CAP 是 对 应 用 和 服务 的 抽象 ， 其 功能 是 对 应 用 数据 进行 分 
段 和 重 装配 ， 并 实现 逻辑 链 路 的 复 用 。 提 交 给 L2CAP 的 应 用 数据 可 以 在 任何 支持 L2CAP 的 迪 
辑 链 路 上 传输 。 

核心 系统 只 包含 4 个 低层 功能 及 其 有 关 的 协议 。 最 下 面 的 3 层 通常 被 组 合成 一 个 子 系统 ， 
构成 了 蓝牙 控制 器 ， 而 上 面 的 L2CAP 以 及 更 高 层 的 服务 都 运行 在 主机 中 。 蓝 牙 控制 器 与 高 层 
之 间 的 接口 叫 作 主机 控制 器 接口 HCI (Host Controller Interface)。 

设备 之 间 的 互 操作 通过 核心 系统 协议 实现 ， 主 要 的 协议 有 RF (Radio Frequency) 协议 、 
链 路 控制 协议 LCP (Link Control Protocol)、 链 路 管理 协议 LMP 和 IL2CAP 协议 。 

核心 系统 通过 服务 访问 点 〈SAP) 提供 服务 ， 如 图 5-34 中 的 椭圆 所 示 。 所 有 的 服务 分 为 
3 类: 

。 ”设备 控制 服务 ， 改 变 设备 的 运行 方式 。 

。 ”传输 控制 服务 ， 生 成 、 修 改 和 释放 通信 载体 信道 和 链 路 )。 

。 数据 服务 : 把 数据 提交 给 通信 载体 来 传输 。 
主机 和 控制 器 通过 HCI 通信 。 通 常 ， 控 制 器 的 数据 缓冲 能 力 比 主机 小 ， 因 而 L2CAP 在 把 
协议 数据 单元 提交 给 控制 器 使 其 传送 给 对 等 设备 时 要 完成 简单 的 资源 管理 功能 , 包括 对 L2CAP 
服务 数据 单元 (SDU》 和 协议 数据 单元 (PDU) 分 段 ， 以 便 适 合 控制 器 的 缓冲 区 管理 ， 并 保证 
需要 的 服务 质量 (QoS)。 

基带 层 协议 提供 了 基本 的 ARQ 功能 ,然而 L2CAP 还 可 以 提供 任 选 的 差错 检测 和 重 传 功能 ， 
这 对 于 要 求 低 误 码 率 的 应 用 是 必要 的 补充 。L2CAP 的 任 选 特性 还 包括 基于 窗口 的 流量 控制 功 
能 ， 用 于 接收 设备 的 缓冲 区 管理 。 这 些 任 选 特性 在 某 些 应 用 场景 中 对 于 保障 QoS 是 必需 的 。 


第 5 章 无 线 通信 网 “ 国 173 荐 


2. 核心 功能 模块 


图 5-34 中 表示 的 核心 功能 模块 如 下 。 

(1) 信道 管理 器 : 负责 生成 、 管 理 和 释放 用 于 传输 应 用 数据 流 的 L2CAP 信道 。 信 道 管理 
器 利用 L2CAP 协议 与 远方 的 对 等 设备 交互 作用 ， 生 成 L2CAP 信道 ， 并 将 其 端点 连接 到 适当 的 
实体 。 信道 管理 器 还 与 本 地 的 LM 交互 作用 ,必要 时 生成 新 的 逻辑 链 路 ， 并 配置 这 些 迎 辑 链 路 ， 
以 提供 需要 的 QoS 服务 。 

(2) L2CAP 资源 管理 器 : 把 L2CAP 协议 数据 单元 分 段 ， 并 按照 一 定 的 顺序 提交 给 基带 
层 ， 而 且 还 要 进行 信道 调度 ， 以 保证 一 定 QoS 的 L2CAP 信道 不 会 被 物理 信道 (由 于 资源 耗 尽 ) 
所 拒绝 。 这 个 功能 是 必要 的 ， 因 为 体系 结构 模型 并 不 保证 控制 器 具有 无 限 的 缓冲 区 ， 也 不 保证 
HCI 管道 具有 无 限 的 带宽 。L2CAP 资源 管理 器 的 另 一 个 功能 是 实现 通信 策略 控制 ， 避 免 与 邻居 
的 QoS 设置 发 生 冲 突 。 

(3) 设备 管理 器 : 负责 控制 设备 的 一 般 行 为 。 这 些 功 能 与 数据 传输 无 关 ， 例 如 发 现 临近 的 
设备 是 否 出 现 ， 以 便 连接 到 其 他 设备 ， 或 者 控制 本 地 设备 的 状态 ， 使 其 可 以 与 其 他 的 设备 建立 
连接 。 设 备 管理 器 可 以 向 本 地 的 基带 资源 管理 器 请 求 传输 介质 ， 以 便 实 现 自己 的 功能 。 设 备 管 
理 器 也 要 根据 HCI 命令 控制 本 地 设备 的 行为 ， 并 管理 本 地 设备 的 名 字 以 及 设备 中 存储 的 链 路 
密 钥 。 

(4) 链 路 管理 器 (LM): 负责 生成 、 修 改 和 释放 逻辑 链 路 及 其 相关 的 逻辑 传输 ， 并 修改 设 
备 之 间 的 物理 链 路 参数 。 本 地 LM 模块 通过 与 远程 设备 的 LM 进行 LMP 通信 来 实现 自己 的 功 
能 。LMP 协议 可 以 根据 请 求生 成 新 的 逻辑 链 路 和 逻辑 传输 ， 并 对 链 路 的 传输 属性 进行 配置 ， 例 
如 可 以 实现 逻辑 传输 的 加 密 、 调 整 物理 链 路 的 发 送 强 度 以 便 节约 能 源 、 改 变 逻 辑 路 的 QoS 配 

(5) 基带 资源 管理 器 : 负责 对 物理 层 的 访问 。 它 有 两 个 主要 功能 ， 其 一 是 调度 功能 ， 即 对 
发 出 访问 请 求 的 各 方 实 体 分 配 物理 信道 的 访问 时 段 ; 其 二 是 与 这 些 实体 协商 包含 QoS 承诺 的 访 
问 合 同 。 访 问 合同 和 调度 功能 涉及 的 因素 很 多 ， 包 括 实 现 数 据 交 换 的 各 种 正常 行为 ， 风 辑 传 输 
的 特性 的 设置 ， 轮 询 覆 盖 范 围 内 的 设备 ， 建 立 连 接 ， 设 备 的 可 发 现 、 可 连接 状态 管理 ， 以 及 在 
自动 跳 频 模式 下 获取 未 经 使 用 的 载波 等 。 

在 某 些 情况 下 ， 风 辑 链 路 调度 的 结果 可 能 是 改变 了 目前 使 用 的 物理 链 路 ,例如 在 由 多 个 微 
微 网 构成 的 散射 网 (scattemet) 中 ， 使 用 轮 询 或 呼叫 过 程 扫描 可 用 的 物理 信道 时 都 可 能 出 现 这 
种 情况 。 当 物理 信道 的 时 槽 错位 时 ， 资 源 管理 器 要 把 原来 物理 信道 的 时 槽 与 新 物理 信道 的 时 村 
重新 对 准 。 

(6) 链 路 控制 器 : 负责 根据 数据 负载 和 物理 信道 、 罗 辑 传输 和 逮 辑 链 路 的 参数 对 分 组 进行 
编码 和 译 码 。 链 路 控制 器 还 执行 直 CP 信 令 ， 实 现 流量 控制 ， 以 及 应 答 和 重 传 功能 。LCP 信 令 的 
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解释 体现 了 与 基带 分 组 相关 的 逻辑 传输 特性 ， 这 个 功能 与 资源 管理 器 的 调度 有 关 。 

(7) RF (Radio Frequency): 这 个 模块 用 于 发 送 和 接收 物理 信道 上 的 数据 分 组 。BB 与 RF 
模块 之 间 的 控制 通路 用 来 控制 载波 定时 和 频率 选择 。 RF 模块 把 物理 信道 和 BB 上 的 数据 流转 换 
成 需要 的 格式 。 


3. 数据 传输 结构 
核心 系统 提供 各 种 标准 的 传输 载体 ， 用 于 传送 服务 协议 和 应 用 数据 。 在 图 5-36 中 ， 圆 角 


方 框 表 示 核 心 载体 ， 而 应 用 则 画 在 图 的 左边 。 通 信 类 型 与 核心 载体 的 特性 要 进行 匹配 ， 以 便 实 
现 最 有 效率 的 数据 传输 。 


可 党 的 异步 
户 数据 


的 不 | 
的 用 | 


SCOLS} 


eSCO[-S] 


不 可 旬 的 异步 
成 由 的 用 户 数据 


字母 C 表示 承载 LMP 报 文 的 控制 链 路 
字母 UU 表示 承载 用 户 数据 的 L2CAP 链 路 
字母 S 表示 承载 无 格式 同步 或 等 时 数据 的 流 式 链 路 


图 5-36 通信 载体 


L2CAP 服务 对 于 异步 的 〈asynchronous) 和 等 时 的 〈isochronous) 用 户 数据 提供 面向 帧 的 
传输 。 面 向 连接 的 L2CAP 信道 用 于 传输 点 对 点 单 播 数据 。 无 连接 的 L2CAP 信道 用 于 广播 数据 。 

L2CAP 信道 的 QoS 设置 定义 了 帧 传送 的 限制 条 件 ， 例 如 可 以 说 明 数 据 是 等 时 的 ， 因 而 必 
须 在 其 有 限 的 生命 期 内 提交 ; 或 者 指示 数据 是 可 靠 的 ， 必 须 无 差错 地 提交 。 

如 果 应 用 不 要 求 按 帧 提交 数据 ， 也 许 是 因为 帧 结构 被 包含 在 数据 流 内 ， 或 者 数据 本 身 是 纯 
流 式 的 ， 这 时 不 应 使 用 L2CAP 信道 ， 而 应 直接 使 用 BB 逻辑 链 路 来 传送 。 非 帧 的 流 式 数据 使 用 
SCO 逻辑 传输 。 

核心 系统 支持 通过 SCO (SCO-S) 或 扩展 的 SCO (CeSCO-S) 直接 传输 等 时 的 和 固定 速率 
的 应 用 数据 。 这 种 逻辑 链 路 保留 了 物理 信道 的 带宽 ， 提 供 了 由 微微 网 时 钟 锁定 的 固定 速率 。 数 
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据 的 分 组 大 小 、 传 输 的 时 间 间 隔 ， 这 些 参数 都 是 在 信道 建立 时 协商 好 的 。eSCO 链 路 可 以 更 灵 
活 地 选择 数据 速率 ， 而 且 通 过 有 限 的 重 传 提供 了 更 大 的 可 靠 性 。 

应 用 从 BB 层 选 择 最 适当 的 逻辑 链 路 类 型 来 传输 它 的 数据 流 .通常 ,应 用 通过 成 帧 的 L2CAP 
单 播 信道 向 远 处 的 对 等 实体 传输 C 平面 信息 。 如 果 应 用 数据 是 可 变速 率 的 ， 则 只 能 把 数据 组 织 
成 帧 通过 L2CAP 信道 传送 。 

RF 信道 通常 是 不 可 靠 的 。 为 了 克服 这 个 缺陷 ， 系 统 提供 了 多 种 级 别 的 可 靠 性 措施 。BB 分 
组 头 使 用 了 纠 错 编码 ， 并 且 配 合 头 校 验 和 来 发 现 残余 差错 。 某 些 BB 分 组 类 型 对 负载 也 进行 纠 
错 编码 ， 还 有 的 BB 分 组 类 型 使 用 循环 见 余 校 验 码 来 发 现 错误 。 

在 ACL 逻辑 传输 中 实现 了 ARQ 协议 ， 通 过 自动 请 求 重 发 来 纠正 错误 。 对 于 延迟 敏感 的 分 
组 ， 不 能 成 功 发 送 时 立即 丢弃 。eSCO 链 路 通过 有 限 次 数 的 重 传 方 案 来 改进 可 靠 性 。L2CAP 提 
供 了 附加 的 差错 控制 功能 ， 用 于 检测 偶然 出 现 的 差错 ， 这 对 于 某 些 应 用 是 有 用 的 。 


5.3.2 ZigBee 技术 


ZigBee 是 基于 IEEE 802.15.4 开发 的 一 组 关于 组 网 、 安 全 和 应 用 软件 的 技术 标准 。802.15.4 
与 ZigBee 的 角色 分 工 如 同 802.11 与 Wi-Fi 的 关系 一 样 。802.15.4 定义 了 低速 WPAN 的 MAC 和 
PHY 标准 ， 而 ZigBee 联盟 则 对 网 络 层 协议 、 安 全 标准 和 应 用 架构 (Profile) 进行 了 标准 化 ， 并 
制定 了 不 同 制 造 商 产品 之 间 的 互 操 作 性 和 一 致 性 测试 规范 。 


1. IEEE 802.15.4 标准 


802.15.4 定义 的 低速 无 线 个 人 网 (Low Rate-WPAN) 包含 两 类 设备 ， 即 全 功能 设备 《Full- 
Function Device，FFD) 和 简单 功能 设备 (Reduced-Function Device，RFD)。FFD 有 3 种 工作 
模式 ， 可 以 作为 一 般 的 设备 、 协 调 器 (Coordinator) 或 PAN 协调 器 ， 而 RFD 功能 简单 ， 只 能 
作为 设备 使 用 ， 例 如 电灯 开关 、 被 动 式 红 外 传感器 等 ， 这 些 设备 不 需要 发 送 大 量 的 信息 ， 通 常 
接受 某 个 FFD 的 控制 。FFD 可 以 与 RFD 或 其 他 FFD 通信 ， 而 RFD 只 能 与 FFD 通信 ，REFD 之 
间 不 能 互相 通信 。 

LR-WPAN 网 络 的 拓扑 结构 如 图 5-37 所 示 。 在 星 型 拓扑 中 ， 只 有 在 设备 和 PAN 协调 器 之 
间 才 能 通信 ， 在 设备 之 间 不 能 互相 通信 。 当 一 个 FFD 被 激活 后 ， 它 就 开始 建立 自己 的 网 络 ， 并 
成 为 该 网 络 的 PAN 协调 器 。 在 无 线 信号 可 及 的 范围 内 ， 如 果 有 多 个 星 型 网 络 ， 则 各 个 星 型 网 络 
用 唯一 的 标识 符 互相 区 分 ， 各 自 独 立地 工作 ， 而 与 其 他 网 络 无 关 。 

通常 的 设备 都 与 某 种 应 用 有 关 ， 可 以 作为 通信 的 发 起 者 或 接受 者 。 PAN 协调 器 也 可 以 运行 
某 些 应 用 ， 但 它 的 主要 角色 是 发 起 或 接受 通信 ， 并 管理 路 由 。PAN 协调 器 是 PAN 的 控制 器 ， 
其 他 设备 都 接受 它 的 控制 。PAN 协调 器 通常 是 插 电 工作 的 ， 而 一 般 的 设备 都 是 用 电池 供电 的 。 
星 型 网 络 可 用 于 家 庭 自动 化 、PC 机 外 设 管理 、 玩 具 和 游戏 ， 以 及 个 人 健康 护理 等 网 络 环境 。 
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星 型 拓扑 点 对 点 星 型 拓扑 


NA Ar 


© PAN 
了 Oo ™ 协调 器 


PAN 全 功能 设备 
协调 器 扣 2 交 间 功能 设备 
一 > 通信 链 路 


图 5-37 LR-PAN 拓扑 结构 


点 对 点 网 络 与 星 型 网 络 不 同 ， 这 种 网 络 中 的 所 有 设备 之 间 都 可 以 互相 通信 ， 只 要 处 于 信号 
覆盖 范围 之 内 。 点 对 点 拓扑 可 以 构成 更 复杂 的 网 络 ， 工 业 控 制 和 监控 网 络 、 无 线 传感器 网 络 、 
库房 管理 和 资产 跟踪 网 络 、 智 能 农业 网 络 和 安全 监控 网 络 等 都 可 以 通过 点 对 点 拓扑 来 构建 。 点 
对 点 网 络 也 可 以 构成 自 组 织 、 自 愈合 的 Ad Hoc 网 络 。 如 果 要 构成 多 跳 的 路 由 网 络 ， 则 需要 高 
层 协 议 的 支持 。 

对 于 例子 ， 可 以 举 用 点 对 点 拓扑 构建 的 簇 集 树 (cluster tree) 网 络 。 这 种 网 络 中 的 大 部 分 
设备 都 是 FFD， 少 数 RFD 可 以 连接 到 树枝 上 成 为 叶子 节点 。 任 何 一 个 FFD 都 可 以 作为 协调 器 
来 提供 网 络 中 的 同步 和 路 由 服务 ， 然 而 只 有 一 个 协调 器 是 PAN 协调 器 。PAN 协调 器 比 其 他 设 
备 拥 有 更 多 的 计算 资源 , 它 建 立 了 网 络 中 的 第 一 个 簇 , 并 把 自己 的 PAN 标识 通过 信 标 帧 广播 给 
邻近 的 设备 。 如 果 有 两 个 或 多 个 FFD 竞争 PAN 协调 器 ， 则 需要 高 层 协议 对 竞争 过 程 进行 仲裁 。 
接受 信 令 帧 的 候选 设备 可 以 请 求 加 入 PAN 协调 器 建立 的 网 络 。 如 果 得 到 PAN 协调 器 的 许可 ， 
则 新 设备 就 成 为 孩子 设备 ， 并 将 其 加 入 的 PAN 协调 器 作为 双亲 设备 添加 到 自己 的 邻居 列表 中 。 
如 果 一 个 设备 不 能 加 入 PAN 协调 器 管理 的 网 络 ， 则 它 必须 继续 搜索 其 他 的 双亲 设备 。 

单个 艇 是 最 简单 的 簇 集 树 ， 大 型 网 络 可 能 由 互相 邻接 的 多 个 簇 构成 一 个 网 状 结构 。 网 络 中 
的 第 一 个 PAN 协调 器 可 以 指导 其 他 设备 变 成 新 徐 的 PAN 协调 器 。 当 其 他 设备 逐渐 加 入 进来 时 ， 
网 状 结构 就 形成 了 ， 如 图 5-38 所 示 ， 图 中 的 线条 表示 孩子 和 双亲 关系 而 不 是 通信 流 。 多 簇 结构 
的 优点 是 扩大 了 覆盖 范围 ， 缺 点 是 增加 了 通信 延迟 。 

802.15.4 的 体系 结构 如 图 5-39 所 示 ， 其 中 的 深 色 部 分 是 802.15.4 定义 的 PHY 和 MAC 
规范 ， 浅 色 部 分 则 归 ZigBee 联盟 管理 。 物 理 层 (PHY) 包含 RF 收发 器 和 底层 管理 功能 ， 通 
过 物理 层 管理 实体 服务 访问 点 (PLME-SAP) 和 物理 数据 服务 访问 点 (PD-SAP) 向 上 层 提供 
服务 。 
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图 5-39 LR-WPAN 体系 结构 


802.15.4-2006 标准 定义 的 4 种 物理 层 如 下 。 

。 868/915 MHz: 直接 序列 扩 频 (DSSS)， 二 进 制 相 移 键 控 (BPSK) 调制 ， 数 据 速率 为 
20 bps 和 40kbps。 

。 ”868/915 MHz: 直接 序列 扩 频 (DSSS)， 偏 置 正 交 相 移 键 控 〈O-QPSK)〉 调 制 ， 数 据 速 
率 为 100kbps 和 250kbps。 

。 868/915 MHz: 并 行 序列 扩 频 (PSSS), 二 进 制 相 移 键 控 (BPSK ) 调 制 和 幅度 键 控 (ASK) 
调制 ， 数 据 速率 为 250kbps。 

。 2.450 GHz: 直接 序列 扩 频 (DSSS)， 偏 置 正 交 相 移 键 控 (O-QPSK) 调制 ， 数 据 速率 
为 250kbps。 
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其 中 ， 两 个 868/915 MHz 标准 (O-QPSK PHY 和 ASK PHY) 是 2006 标准 中 新 增加 的 。 

MAC 子 层 提供 MAC 数据 传输 服务 和 MAC 管理 服务 ， 通 过 MAC 层 管理 实体 服务 访问 点 
(MLME-SAP) 和 MAC 公共 部 分 子 层 服务 访问 点 (MCPS-SAP) 向 上 层 提供 服务 。 

MAC 子 层 提供 两 种 信道 访问 方式 ， 即 基于 竞争 的 访问 和 无 竞争 的 访问 。 对 于 低 延 迟 的 应 
用 或 者 要 求 特别 带宽 的 应 用 ，PAN 协调 器 要 为 其 分 配 保障 时 槽 GTS (Guaranteed Time Slots) ， 
在 保障 时 槽 内 可 以 进行 无 竞争 的 访问 。 

基于 竞争 的 访问 方式 应 用 了 CSMA/CA 后 退 算法 ,而且 划分 为 不 分 时 槽 的 和 分 时 槽 的 两 个 
不 同 版 本 。 不 分 时 槽 的 CSMA/CA 协议 应 用 在 未 启用 令 牌 的 网 络 中 ， 当 一 个 设备 要 发 送 数据 帧 
或 MAC 命令 时 : 

@ 等 待 一 段 随机 时 间 ; 

@ 如 果 信 道 闲 ， 则 随机 后 退 一 段 时 间 ， 然 后 开始 发 送 ， 否 则 转 @); 

图 如 果 信 道 忙 ， 则 转 〇 D。 

在 启用 令 牌 的 网 络 中 必须 使 用 CSMA/CA 协议 的 分 时 槽 版本， 这 个 算法 与 前 一 算法 的 竞争 
过 程 基本 一 样 ， 区 别 是 后 退 时 间 要 与 令 牌 控制 的 时 槽 对 准 。 当 设备 要 发 送 数据 帧 时 ， 首 先 定位 
到 下 一 个 后 退 时 槽 的 界限 ， 然 后 : 

@ 等 待 一 段 随机 数量 的 时 槽 ; 

@ 如 果 信 道 闲 ， 则 在 下 一 个 时 槽 开始 时 立即 发 送 ， 否 则 转 @; 

@ 如 果 信 道 忙 ， 则 转 @D。 

MAC 数据 帧 和 PHY 分 组 的 结构 如 图 5-40 所 示 ， 对 其 中 各 个 字段 的 解释 如 下 。 

1 4 或 10 0,5,6,10 或 14 nm 2 


数据 负载 


MAC 负 载 MAC 尾 | 


1 | TH4~24)m 


本 前 导 序列 | 帧 起 始 定 界 符 PSDU 
| 让 抬头 分 组 关 PHYh 载 | 


图 5-40 MAC 数据 帧 和 PHY 分 组 


。 ”由 控制 :说明 帧 类 型 (000 表示 令 牌 帧 、001 表示 数据 帧 、010 表示 应 答 帧 、011 表示 
MAC 命令 帧 )、 是 否 最 后 一 帧 、 是 否 需 要 应 答 、 地 址 模式 、 以 及 压缩 的 PAN 标识 等 。 

。 顺序 号 : 数据 帧 的 顺序 号 用 于 与 应 答 帧 匹配 。 

。 地 址 : 可 以 使 用 16 位 的 短 地 址 或 64 位 的 长 地 址 。 

。 ”辅助 安全 头 : 说 明了 加 密 、 认 证 和 防止 重 放 攻 击 的 算法 ， 以 及 PAN 安全 数据 库 中 存放 
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的 密 钥 ， 该 字段 为 可 变 长 。 

。 FCS: 16 位 的 CRC 校 验 码 。 

。 前 导 序列 : 用 于 信号 同步 ， 根 据 调 制 方式 的 不 同 可 采用 不 同 的 符号 和 长 度 。 

。 。 帧 起 始 定 界 符 : 指示 同步 符号 的 结束 和 分 组 数据 的 开始 ， 根 据 调 制 方式 的 不 同 ， 其 长 
度 和 模式 也 不 同 。 

。 帧 长 度 : 说 明 PSDU 的 总 字 节 数 。 


2. ZigBee 网 络 


ZigBee 联盟 由 Ember、Emerson、Freescale 等 12 家 半导体 器 件 和 控制 设备 制造 商 发 起 ， 加 
盟 的 公司 有 300 多 家 ， 其 主要 任务 如 下 : 

(1) 定义 ZigBee 的 网 络 层 、 安 全 层 和 应 用 层 标准 。 

(2) 提供 互 操作 性 和 一 致 性 测试 规范 。 

(3) 促进 ZigBee 品牌 的 全 球 化 市 场 保 证 。 

(4) 管理 ZigBee 技术 的 演变 。 

图 5-41 所 示 为 ZigBee 联盟 指导 委员 会 定义 的 ZigBee 技术 规范 (2005)， 描 述 了 ZigBee 网 
络 的 基础 结构 和 可 利用 的 服务 。 图 5-41 下 面 两 块 是 IEEE 802.15.4 定义 的 MAC 和 了 PHY 标准 ， 
上 面 是 ZigBee 联盟 定义 的 网 络 层 和 应 用 层 , 其 中 的 应 用 对 象 由 网 络 开发 商定 义 。 开 发 商 可 提供 
多 种 应 用 对 象 ， 以 满足 不 同 的 应 用 需求 。ZigBee 网 络 层 (NWK) 提供 了 建立 多 跳 网 络 的 路 由 
功能 。APL 层 包含 了 应 用 支持 子 层 (APS) 和 ZigBee 设备 对 象 (ZDO)， 以 及 各 种 可 能 的 应 用 。 
ZDO 的 作用 是 提供 全 面 的 设备 管理 ，APS 的 功能 是 对 ZDO 和 各 种 应 用 提供 服务 。 


转 802.15 4 标 
口 ame 
国 和 和 癌 定 
CC 层 同 接口 


图 5-41 ZigBee 协议 栈 
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ZigBee 的 安全 机 制 分 散在 MAC、NWK 和 APS 层 ， 分 别 对 MAC 帧 、NWK 帧 和 应 用 数据 
进行 安全 保护 。APS 子 层 还 提供 建立 和 维护 安全 关系 的 服务 。ZigBee 设备 对 象 ZDO 管理 安全 
策略 和 设备 的 安全 配置 。 

ZigBee 的 网 络 层 和 MAC 层 都 使 用 高 级 加 密 标 准 AES， 以 及 结合 了 加 密 和 认证 功能 的 
CCM* 分 组 加 密 算法 。 分 组 加 密 也 称 块 加 密 (Block Cipher)， 其 操作 方式 是 将 明文 按照 分 组 算 
法 划分 为 128 位 的 区 块 ， 对 各 个 区 块 分 别 进行 加 密 ， 整 个 密 文 形成 一 个 密码 块 链 。 

ZigBee 协调 器 管理 网 络 的 路 由 功能 ， 其 路 由 表 如 图 5-42 所 示 。 


i | es | 
[| 


图 5-42 路 由 表 


其 中 的 地 址 字段 采用 16 位 的 短 地 址 ，3 位 状态 位 指示 的 状态 如 下 。 

(1) 0x0: 活动 。 

(2) 0x1: 正在 发 现 。 

(3) 0x2: 发 现 失败 。 

(4) 0x3: 不 活动 。 

(5) 0x4 一 0x7: 保留 。 

ZigBee 采用 的 路 由 算法 是 按 需 分 配 的 距离 矢量 协议 AODV。 当 NWK 数据 实体 要 发 送 数据 
分 组 时 ， 如 果 路 由 表 中 不 存在 有 效 的 路 由 表 项 ， 则 首先 要 进行 路 由 发 现 ， 并 对 找到 的 各 个 路 由 
计算 通路 费用 。 

假设 长 度 为 工 的 通路 己 由 一 系列 设备 [D,.D;…,Dr] 组 成 , 如 果 用 [Di Di] 表示 两 个 设备 之 间 
的 链 路 ， 则 通路 费用 可 计算 如 下 : 


clp}=F. cD.D.) 
其 中 ，C{[D;,Di 表示 链 路 费用 。 链 路 1 的 费用 C 仍 用 下 面 的 函数 计算 : 


7, 
| 叫 | | 
in| 7.round| 一 
Db, 
其 中 ，pi 表 示 在 链 路 1 上 可 进行 分 组 提交 的 概率 。 


可 见 ， 链 路 的 费用 与 链 路 上 可 提交 分 组 的 概率 的 4 次 方 成 反比 ， 一 条 通路 的 费用 的 值 位 于 
区 间 [0...7] 中 。 
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5.4 “无 线 城 域 网 


IEEE 802.16 工作 组 提出 的 无 线 接 入 系统 空中 接口 标准 是 一 种 无 线 城 域 网 技术 ， 许 多 网 络 
运营 商都 加 入 了 支持 这 个 标准 的 行列 ， 它 是 一 种 很 有 前 途 的 无 线 宽带 联网 新 技术 。 

WiMAX (World Interoperability for Microwave Access) 论坛 是 由 Intel 等 芯片 制造 商 于 2001 
年 发 起 成 立 的 ， 其 任务 是 对 IEEE 802.16 产品 进行 一 致 性 认证 ， 促 进 标准 的 互 操 作 性 ， 其 成 员 
襄 括 了 超过 500 家 通信 行业 的 运营 商 和 组 件 /设备 制造 商 。 

目前 比较 成 熟 的 标准 有 两 个 , 一 个 是 2004 年 颁布 的 802.16d, 这 个 标准 支持 无 线 固定 接 入， 
也 叫 作 固定 WiMAX; 另 一 个 是 2005 年 颁布 的 802.16e， 它 是 在 前 一 标准 的 基础 上 增加 了 对 移 
动 性 的 支持 ， 所 以 也 称 为 移动 WiMAX。 

WiMAX 技术 主要 有 两 个 应 用 领域 ， 一 个 是 作为 蜂 窜 网络 、Wi-Fi 热点 和 Wi-Fi Mesh 的 回 
程 链 路 ， 另 一 个 是 作为 最 后 一 千 米 的 无 线 宽带 接 入 链 路 。 回 程 链 路 (Backhaul〉 是 指 从 接 入 网 
络 到 达 交 换 中 心 的 连接 。 例 如 ， 用户 在 网 吧 用 Wi-Fi 上 网 时 ，Wi-Fi 设备 必须 连接 ISP 端 ， 这 中 
间 的 连接 就 是 回程 链 路 。 发 达 地 区 己 有 的 微波 或 有 线 (TIE1) 回程 链 路 需要 升级 ， 发 展 中 地 
区 随 着 WLAN 的 应 用 和 蜂窝 网 用 户 的 增长 ， 需 要 建立 新 的 回程 链 路 。 固 定 WiMAX 可 以 提供 
成 本 低 、 远 距离 、 高 带宽 的 回程 传输 。 

在 无 线 宽带 接 入 方面 ，WiMAX 比 Wi-Fi 的 履 盖 范围 更 大 ， 数 据 速率 更 高 。 同 时 ，WiMax 
比 Wi-Fi 具有 更 好 的 可 扩展 性 和 安全 性 ， 从 而 能 够 实现 电信 级 的 多 媒体 通信 服务 。 高 带宽 可 以 
补偿 下 网 络 的 缺陷 ， 从 而 使 VoIP 的 服务 质量 大 大 提高 。 

移动 WiMAX (802.16e) 向 下 兼容 802.16d， 在 移动 性 方面 定位 的 目标 速率 为 车 速 ， 可 以 
支持 120knyh 的 移动 速率 。 当 移动 速度 较 高 时 ， 由 于 多 普 勒 频 移 会 造成 系统 性 能 下 降 ， 所 以 必 
须 在 移动 速率 、 带 宽 和 覆盖 范围 之 间 进行 权衡 折 中 。3G 技术 强调 地 域 上 的 全 和 覆盖 和 高 速 的 移 
动 性 ， 强 调 “ 无 所 不 在 ”的 服务 ， 而 802.16 则 御 牲 了 全 覆盖 ， 仅 保证 在 一 定 区 域内 实现 连续 覆 
盖 ， 从 而 换取 了 数据 传输 速率 的 提高 。 

IEEE 802.16 的 协议 栈 模 型 由 物理 层 和 MAC 层 组 成 ，MAC 层 又 分 成 了 3 个 子 层 ， 即 面向 
服务 的 汇聚 子 层 (Service Specific Convergence Sublayer)、 公共 部 分 子 层 (Common Part Sublayer) 
和 安全 子 层 (Privacy Sublayer)， 如 图 5-43 所 示 。 


5.4.1 关键 技术 


802.16 系统 采用 两 个 工作 频段 ， 其 中 ，10 一 66GHz 频段 的 工作 波长 较 短 ， 只 能 进行 视 距 传 
输 ， 这 时 可 以 忽略 多 径 衰减 的 影响 。802.16 规定 ， 在 这 个 频段 可 以 采用 单 载波 调制 方式 ， 例 如 
QPSK、16-QAM， 甚 至 还 可 以 支持 64-QAM。 
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图 5-43 IEEE 802.16 协议 栈 模型 


在 2 一 11GHz 频段 可 以 进行 非 视 距 传输 ， 但 必须 考虑 多 径 衰减 的 影响 ， 这 时 每 个 子 载波 的 
调制 方式 可 以 选用 B/SK、QPSK、16-QAM 或 64-QAM。 

802.16 采用 的 多 路 复 用 方式 OFDM/OFDMA 被 认为 是 下 一 代 无 线 通信 网 的 关键 技术 。 
OFDM 具有 较 高 的 频谱 利用 率 ， 并 且 在 抵抗 多 径 效应 、 频 率 选 择 性 衰减 和 罕 带 干扰 上 具有 明显 
的 优势 。 正 交 频 分 多 址 OFDMA 是 利用 OFDM 的 概念 实现 上 行 多 址 接 入 。 每 个 用 户 占 用 不 同 
的 子 载波 ， 通 过 子 载波 将 用 户 分 开 。OFDMA 的 引入 是 为 了 支持 移动 性 。 

为 了 进一步 提高 带宽 利用 率 ，802.16 还 引入 了 多 入 多 出 技术 MIMO。MIMO 是 通过 多 径 无 
线 信道 实现 的 ， 传 输 的 信息 流 经 过 空 时 编码 形成 六 个 子 信息 流 ， 由 N 个 天 线 发 射出 去 ， 经 过 空 
间 信 道 后 由 M 个 接收 天 线 接收 。 多 天 线 接收 机 利用 空 时 编码 处 理 功能 对 数据 流 进 行 分 离 和 解 
码 ， 从 而 实现 最 佳 的 处 理 。MIMO 系统 可 以 抗 多 径 衰减 ，OFDM 可 以 提高 频谱 利用 率 ， 两 者 适 
当 结 合 ， 可 以 在 不 增加 系统 带宽 的 情况 下 提供 更 高 的 数据 传输 速率 。 

802.16 系统 以 频 分 双 工 (FDD) 或 时 分 双 工 (TDD) 方式 工作 。FDD 需要 成 对 的 频率 ， 
TDD 则 不 需要 ， 而 且 可 以 灵活 地 实现 上 、 下 行 带宽 的 动态 调整 。802.16 还 规定 ， 终 端 可 以 采用 
频 分 半 双 工 CH-FDD) 方式 工作 ， 从 而 降低 了 终端 收发 器 的 成 本 。 

5.4.2 MAC 子 层 

802.16 MAC 层 提供 面向 连接 的 服务 ， 各 个 连接 通过 唯一 的 连接 标识 符 〈CID) 区 分 ,面向 

业务 的 汇聚 子 层 将 上 层 业 务 映射 成 连接 。MAC 层 定义 了 两 种 CS 子 层 ， 即 ATM CS 和 分 组 CS， 


前 者 提供 对 ATM 的 业务 支持 ， 后 者 提供 对 IEEE 802.3、IEEE 802.1q、IPv4 和 IPv6 等 基于 分 组 的 
业务 的 映射 。 由 于 目前 通信 网 络 中 主要 是 基于 了 人 P 的 分 组 业务 ， 所 以 WiMAX 论坛 仅 认 证 与 他 
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相关 的 IEEE 802.16 设备 。 
802.16 MAC 层 定义 了 完整 的 QoS 机 制 ,针对 每 个 连接 可 以 分 别 设置 不 同 的 QoS 参数 , 包 
括 速率 、 延 时 等 指标 。 为 了 更 好 地 控制 带宽 分 配 ，MAC 层 定 义 了 4 种 不 同 的 业务 。 
。 ” 非 请 求 的 带宽 分 配 业 务 (Unsolicited Grant Service，UGS ): 用 于 传输 周期 性 的 、 包 大 
小 固定 的 实时 数据 ， 其 典型 的 应 用 是 VoIP 电话 。 这 种 业务 一 经 申请 成 功 , 在 传输 过 程 
中 就 不 需要 再 去 申请 ， 以 排除 带宽 请 求 引 入 的 开销 。 
。 ”实时 轮 询 业 务 (real-time Polling Service，rtPS): 用 于 支持 周期 性 的 、 包 大 小 可 变 的 实 
时 业务 ,例如 MPEG 视频 业务 。rtPS 周期 性 地 轮 询 带 宽 请 求 ， 从 而 能 够 周期 地 改变 业 
务 带宽 。 这 种 服务 引入 了 请 求 开 销 ， 但 可 以 按 需求 动态 分 配 带宽 。 
。 非 实时 轮 询 业务 (non-real-time Polling Service，nrtPS): 用 于 支持 非 实 时 可 变速 率 业 
务 ， 例 如 高 带宽 的 FTP 应用， 需要 保持 最 低 数据 速率 。 对 这 种 业务 提供 的 轮 询 间 隔 更 
长 ， 或 者 进行 不 定期 的 轮 询 。 
e ”尽力 而 为 业务 (Best Effort Service，BE): 用 于 支持 非 实 时 性 、 无 任何 速率 和 时 延 要 求 
的 分 组 业务 ， 业 务 流 的 稳定 性 由 高 层 协议 保证 。 典 型 业务 是 Telnet 和 HTTP 服务 。 这 
种 业务 可 以 随时 提出 带宽 申请 ， 允 许 使 用 任何 类 型 的 竞争 和 捕 带 请 求 机 制 ， 但 是 不 对 
它们 进行 轮 询 请 求 。 
MAC 层 还 包含 安全 子 层 ， 支 持 认 证 、 加 密 等 安全 功能 ， 可 以 实现 安全 管理 。 
5.4.3 向 4G 迈进 


1. 802.16e 


802.16d 的 OFDM 调制 方式 采用 256 个 子 载波 ,OFDMA 调制 方式 采用 2048 个 子 载波 , 信 
号 带宽 在 1.25 一 20MHz 可 变 。 为 了 支持 移动 性 ，802.16e 对 物理 层 进 行 了 改进 ， 使 得 OFDMA 
可 支持 128、512、1024 和 2048 共 4 种 不 同 的 子 载波 数量 ， 但 子 载波 间隔 不 变 ， 信 和 号 带宽 与 子 载 
波 数量 成 正比 ， 这 种 技术 被 称 为 可 扩展 的 OFDMA (Scalable OFDMA)。 采 用 这 种 技术 ， 系 统 可 
以 在 移动 环境 中 灵活 地 适应 信道 带宽 的 变化 。 在 采用 20MHz 带宽 、64-QAM 调制 的 情况 下 ， 
传输 速率 可 达到 74.81Mbps。 

802.16e 对 MAC 层 的 改进 改变 了 各 个 功能 层 之 间 的 消息 传输 机 制 , 并 实现 了 快速 自动 请 求 
重 传 (ARQ) 和 资源 预约 功能 ， 以 降低 信道 时 延 的 影响 。 另 外 还 增加 了 针对 上 行 链 路 的 功率 、 
频率 和 时 隙 的 快速 调整 功能 ， 以 适应 快速 移动 的 要 求 。 

现在 的 IEEE 802.16 标准 是 一 种 无 线 城 域 网 技术 ， 与 其 他 的 无 线 接 入 技术 的 应 用 领域 和 服 
务 范 围 不 同 。 各 种 无 线 接 入 技术 互相 配合 ， 共 同 提供 了 从 个 域 网 到 广域网 的 各 种 无 线 宽带 接 入 
服务 ， 如 图 5-44 所 示 。 


国 :4 医 


网 络 工程 师 教程 (第 5 版 ) 


图 5-44 各 种 无 线 网 的 作用 范围 


2. WiMAX II 


WiMAX 的 进一步 发 展 是 与 其 他 B3G (Beyond 3G) 技术 融合 ， 成 为 IMT-Advanced 家 族 的 
成 员 之 一 。ITU-R 对 4G 标准 的 要 求 是 能 够 提供 基于 人 P 的 高 速 声音 、 数 据 和 流 式 多 媒体 服务 ， 
支持 的 数据 速率 至 少 是 100Mbps， 选 定 的 通信 技术 是 正 交 频 分 多 址 接 入 技术 OFDMA。 

最 初 候选 的 4G 标准 有 3 个 , 即 UMB (Ultra Mobile Broadband)、LTE (Long Term Evolution) 
和 WiMAXI (IEEE 802.16m)。 

超级 移动 宽带 UMB 是 由 高 通 公 司 为 首 的 3GPP2 组 织 推出 的 CDMA-2000 的 升级 版 EV-DO 
REV.C。UMB 的 最 高 下 载 速率 可 达到 288Mbps， 最 高 上 传 速率 可 达到 75Mbps， 支 持 的 终端 移 
动 速率 超过 300kmyh。 

长 期 演进 LTE (Long Term Evolution ) 是 沿 着 GSM 一 W-CDMA 一 HSPA 一 4G 路 线 发 展 的 技 
术 ， 是 由 以 欧洲 电信 为 首 的 3GPP 组 织 启动 的 新 技术 研发 项 目 。 和 UMB 一 样 ，LTE 也 采用 了 
OFDM/OFDMA 作为 物理 层 的 核心 技术 。 

2006 年 12 月 批准 的 802.16m 是 向 IMT-Advanced 迈进 的 研究 项 目 。 为 了 达到 4G 的 技术 要 
求 , IEEE 802.16m 的 下 行 峰值 速率 在 低速 移动 、 热 点 覆盖 条 件 下 可 以 达到 1Gbps, 在 高 速 移动 、 
广 域 覆 盖 条 件 下 可 以 达到 100Mbps。 为 了 向 前 兼容 ，802.16m 准备 对 802.16e 采用 的 OFDMA 
调制 方式 进行 增补 ， 进 一 步 提高 系统 吞吐 量 和 传输 速率 。 

2008 年 11 月 ， 高 通 公司 宣布 放弃 UMB 技术 。 鉴 于 IEEE 802.16e 已 跻身 于 3G 标准 行列 ， 
所 以 在 未 来 向 4G 迈进 时 代 就 形成 了 LTE-Advanced 与 IEEE 802.16m 竞争 的 格局 ， 它 们 采用 的 
关键 技术 有 许多 共同 之 处 ， 如 表 5-2 所 示 。 
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表 5-2 LIE-Advanced 与 IEEE 802.16m 的 技术 比较 


LIE-Advanced 


信道 宽带 支持 1.25 一 20MHz 宽带 


IEEE 802.16m 
5 一 20MHZ 的 抗 状 带宽 ， 特 殊 情 况 下 可 
达 100MHZ 


峰值 速率 下 行 1Gbps， 上 行 S00Mbps 


静止 1Gbps， 移 动 100Mbps 


0 一 15knmh 〈 最 佳 性 能 )，0 一 120knmmh 〈 较 好 
移动 性 性 能 ) 

120 一 350kmmh (保持 连接 不 掉 线 ? 

传输 技术 与 
多 址 技术 
双 工 方式 FDD 和 TDD 融合 ，FDD 半 双 工 
调制 方式 QPSK、16QAM 和 64QAM 


编码 方式 以 Turbo 码 为 主 ，LDPC 编译 码 


下 行 OFDMA， 上 行 SC-FDMA 


基本 MIMO 模型 : 下 行 4X4， 上 行 2X4 天 


多 大 线 技术 线 ， 最 多 8X8 配置 


Chase 合并 与 增 量 宛 余 HARQ， 异 步 HARQ 
和 自 适应 HARQ 


纠 错 技术 


2013 年 底 ， 工 信 部 正式 向 三 大 运营 商 发 放 了 4G 牌照 


0 一 15km/h (最 佳 性 能 ), 0 一 120km/h ( 较 
好 性 能 
120 一 350kmmh 〈 保 持 连 接 不 掉 线 ) 


OFDMA 


FDD、TDD 和 FDD 半 双 工 

BPSK、 QPSK、16QAM 和 64QAM 

卷 积 码 、 卷 积 Turbo 码 和 低 密 度 奇偶 校 
验 码 

支持 MIMO 技术 (基站 支持 1、2、4、 
8 根 发 射 天 线 ， 终 端 支 持 1、2、4 根 发 
射 天 线 ) 和 AAS〔 自 适应 线 阵 ) 

Chase 合并 ， 异 步 HARQ 和 非 自 适应 
HARQ 


， 中 国 移动 、 中 国电 信和 中 国联 通 均 


获得 TD-LTE 牌照 ， 中 国 移动 获得 了 130MHz 的 频谱 资源 ， 远 高 于 中 国电 信和 中 国联 通 的 


40MHz， 各 家 运营 商 得 到 的 商用 频段 划分 如 下 : 
(1) 中 国 移动 : 1880 一 1900MHz、2320 一 2370MHz、 
(2) 中 国联 通 : 2300 一 2320MHz、2555 一 2375MHz。 
(3) 中 国电 信 : 2370 一 2390MHz、2635 一 26553MHz。 


2575~2635MHz。 


其 实 , 对 于 LIE 上、 下 行 信道 的 划分 可 以 使 用 时 分 多 路 (TDD) 技术 ,也 可 以 使 用 频 分 多 
路 (FDD) 技术 ， 欧 洲 运营 商 大 多 倾向 于 FDD-LTE。 中 国 移动 受 限于 3G 时 代 的 TD-SCDMA 


网 络 ， 最 初 就 明确 要 建设 TD-LTE 网 络 ， 现 在 正在 全 国 许 
而 中 国联 通 和 中 国电 信和 则 倾向 于 建设 FDD-LTE 网 络 。 中 
牌照 ， 将 考虑 向 中 国 移动 租用 网 络 ”。 


多 城市 大 规模 建设 TD-LTE 试验 网 ， 
国电 信和 曾经 表态 “如 果 获 得 TD-LTE 
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多 个 网 络 互相 连接 组 成 范围 更 大 的 网 络 叫 作 互联 网 (Internet)。 由 于 各 种 网 络 使 用 的 技术 
不 同 ， 所 以 要 实现 网 络 之 间 的 互 连 互通 还 要 解决 一 些 新 的 问题 。 例 如 ， 各 种 网 络 可 能 有 不 同 的 
寻 址 方案 、 不 同 的 分 组 长 度 、 不 同 的 超时 控制 、 不 同 的 差错 恢复 方法 、 不 同 的 路 由 选择 技术 以 
及 不 同 的 用 户 访问 控制 协议 等 。 另 外 ， 各 种 网 络 提供 的 服务 也 可 能 不 同 ， 有 的 是 面向 连接 的 ， 
有 的 是 无 连接 的 。 网 络 互 连 技术 就 是 要 在 不 改变 原来 的 网 络 体系 结构 的 前 提 下 ， 把 一 些 异 构 型 
的 网 络 互相 连接 构成 统一 的 通信 系统 ， 实 现 更 大 范围 的 资源 共享 。 本 章 首 先 概括 介绍 各 种 网 络 
互 连 设备 ， 然 后 讨论 网 络 互 连 的 基本 原理 和 关键 技术 ， 最 后 介绍 Intemet 协议 及 其 提供 的 网 络 
服务 。 


6.1 网 络 互 连 设 备 


组 成 因特网 的 各 个 网 络 叫做 子 网 ,用 于 连接 子 网 的 设备 叫 作 中 间 系 统 (Intemmediate System， 
IS), 它 的 主要 作用 是 协调 各 个 网 络 的 工作 ,使 得 跨 网 络 的 通信 得 以 实现 。 中 间 系 统 可 以 是 一 个 
单独 的 设备 ， 也 可 以 是 一 个 网 络 。 这 一 节 介 绍 各 种 网 络 互 连 设备 的 工作 原理 。 

网 络 互 连 设备 的 作用 是 连接 不 同 的 网 络 。 这 里 用 网 段 专 指 不 包含 任何 互 连 设备 的 网 络 。 网 
络 互 连 设 备 可 以 根据 它们 工作 的 协议 层 进行 分 类 : 中 继 器 〈Repeater) 工作 于 物理 层 ， 网 桥 
(Bridge) 和 交换 机 〈Switch) 工作 于 数据 链 路 层 ;路 由 器 (Router) 工作 于 网 络 层 ， 而 网 关 
(Gateway) 工作 于 网 络 层 以 上 的 协议 层 。 这 种 根据 OSI 协议 层 的 分 类 只 是 概念 上 的 ， 在 实际 
的 网 络 互 连 产品 中 可 能 是 几 种 功能 的 组 合 ， 从 而 可 以 提供 更 复杂 的 网 络 互 连 服务 。 


6.1.1 中 继 器 


由 于 传输 线路 噪音 的 影响 ， 承 载 信 息 的 数字 信和 号 或 模拟 信号 只 能 传输 有 限 的 距离 。 例 如 在 
802.3 中 ,收发 器 芯片 的 驱动 能 力 只 有 500m。 虽 然 MAC 协议 的 定时 特性 〈r 值 的 大 小 ) 允许 电 
缆 长 达 2.5km， 但 是 单个 电缆 段 却 不 允许 做 得 那么 长 。 在 线路 中 间 插 入 放大 器 的 办 法 是 不 可 取 
的 ， 因 为 伴随 信号 的 噪音 也 被 放大 了 。 在 这 种 情况 下 ， 用 中 继 器 连接 两 个 网 段 可 以 延长 信号 的 
传输 距离 。 中 继 器 的 功能 是 对 接收 信号 进行 再 生 和 发 送 。 中 继 器 不 解释 也 不 改变 接收 到 的 数字 
信息 ， 它 只 是 从 接收 信号 中 分 离 出 数字 数据 ， 存 储 起 来 ， 然 后 重新 构造 它 并 转发 出 去 。 再 生 的 
信号 与 接收 信号 完全 相同 ， 并 可 以 沿 着 另外 的 网 段 传输 到 远 端 。 中 继 器 的 概念 和 工作 原理 如 图 
6-1 所 示 。 
理论 上 说 ,可 以 用 中 继 器 把 网 络 延 长 到 任意 长 的 传输 距离 ， 然 而 很 多 网 络 上 都 限制 了 在 一 
对 工作 站 之 间 加 入 中 继 器 的 数目 。 例 如 ， 在 以 太 网 中 限制 最 多 使 用 4 个 中 继 器 ， 即 最 多 由 5 个 
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网 段 组 成 。 
应 用 层 应 用 层 
表示 层 表示 层 
会 话 层 会 话 层 中 
传输 层 传输 层 0 一] 
网 络 层 网 络 层 网 络 段 1 线 志 
数据 链 路 层 数据 链 路 层 ~ 
网 络 段 2 
物理 层 | 物理 层 | 物理 层 物理 层 
站 
(a) 概念 模型 (b) 工作 原理 


图 6-1 中 继 器 

中 继 器 工作 于 物理 层 ， 只 是 起 到 扩展 传输 距离 的 作用 ， 对 高 层 协议 是 透明 的 。 实 际 上 ， 通 
过 中 继 器 连接 起 来 的 网 络 相 当 于 同一 条 电缆 组 成 的 更 大 的 网 络 。 中 继 器 也 能 把 不 同 传输 介质 
(例如 10Base 5 和 10Base 2) 的 网 络 连 在 一 起 ， 多 用 在 数据 链 路 层 以 上 相同 的 局 域 网 的 互 连 中 。 
这 种 设备 安装 简单 ， 使 用 方便 ， 并 能 保持 原来 的 传输 速度 。 

集线器 的 工作 原理 基本 上 与 中 继 器 相同 。 简 单 地 说 ， 集 线 器 就 是 一 个 多 端口 中 继 器 ， 它 把 
一 个 端口 上 收 到 的 数据 广播 发 送 到 其 他 所 有 端口 上 。 
6.1.2 网 桥 


类 似 于 中 继 器 ， 网 桥 也 用 于 连接 两 个 局 域 网 段 ， 但 它 工 作 于 数据 链 路 层 。 网 桥 要 分 析 帧 地 


丝 字 段 ， 以 决定 是 否 把 收 到 的 帧 转发 到 另 一 个 网 段 上 。 网 桥 的 概念 模型 和 工作 原理 如 图 6-2 
所 示 。 
201 202 
站 站 
应 用 层 应 用 层 
| 表示 层 | [表示 层 | [Dia | Faxzo[ 数据 ] ~ 
三 | | 网 络 段 1 
会 话 层 会 话 层 网 标 
传输 层 传输 层 
网 络 层 网 络 层 | 网 络 段 2 | 。” [GHAIO[ 到 所 
数据 链 路 层 | | 数据 链 路 层 | 数据 链 路 层 | | 数据 链 路 层 本 
物理 层 物理 层 | 物理 层 物理 层 站 
103 104 
DHA- 目 标 硬件 地 址 
(a) 概念 模型 (b) 工作 原理 


图 6-2 网 桥 
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在 图 6-2 (b) 中， 网 桥 检查 帧 的 源 地 址 和 目标 地 址 ， 如 果 目 标 地 址 和 源 地 址 不 在 同一 个 网 
段 上 ， 就 把 帧 转发 到 另 一 个 网 段 上 ， 若 两 个 地 址 在 同一 个 网 段 上 ， 则 不 转发 ， 所 以 网 桥 能 起 到 
过 滤 帧 的 作用 。 网 桥 的 帧 过 滤 特 性 很 有 用 ， 当 一 个 网 络 由 于 负载 很 重 而 性 能 下 降 时 可 以 用 网 桥 
把 它 分 成 两 个 段 ， 并 使 得 段 间 的 通信 量 保持 最 小 。 例 如 ， 把 分 布 在 两 层 楼 上 的 网 络 分 成 每 层 一 
个 网 段 ， 段 中 间 用 网 桥 相连 。 这 样 的 配置 可 以 缓解 网 络 通 信 繁忙 的 程度 ， 提 高 通信 效率 。 同 时 
由 于 网 桥 的 隔离 作用 ， 一 个 网 段 上 的 故障 不 会 影响 到 另 一 个 网 段 ， 从 而 提高 了 网 络 的 可 靠 性 。 

网 桥 可 用 于 运行 相同 高 层 协议 的 设备 间 的 通信 , 采用 不 同 高 层 协议 的 网 络 不 能 通过 网 桥 互 
相通 信 。 另 外 ， 网 桥 也 能 连接 不 同 传输 介质 的 网 络 ， 例 如 可 实现 同 轴 电 绕 以 太 网 与 双 绞 线 以 太 
网 之 间 的 互 连 ， 或 是 以 太 网 与 令 牌 环 网 之 间 的 互 连 。 确 切 地 说 ， 网 桥 工作 于 MAC 子 层 ， 只 要 
两 个 网 络 MAC 子 层 以 上 的 协议 相同 ， 都 可 以 用 网 桥 互 连 。 

以 太 网 中 广泛 使 用 的 交换 机 是 一 种 多 端口 网 桥 ， 每 一 个 端口 都 可 以 连接 一 个 局 域 网 ， 关 于 
交换 机 工作 原理 的 详细 介绍 参见 第 10 章 。 


6.1.3 ”路 由 器 


路 由 器 的 概念 模型 和 工作 原理 如 图 6-3 所 示 ， 可 以 看 出 ， 路 由 器 工作 于 网 络 层 。 通 常 把 网 
络 层 地 址 叫 作风 辑 地 址 ， 把 数据 链 路 层 地 址 叫 作物 理 地 址 。 物 理 地 址 通常 是 由 硬件 制造 商 指 定 
的 ,例如 每 一 块 以 太 网 卡 都 有 一 个 48 位 的 站 地 址 。 这 种 地 址 由 IEEE 管理 (给 每 个 网 卡 制造 商 
指定 唯一 的 前 3 个 字 节 值 )， 任 何 两 个 网 卡 不 会 有 相同 的 物理 地 址 。 罗 辑 地 址 是 由 网 络 管理 员 
在 组 网 配置 时 指定 的 ， 这 种 地 址 可 以 按照 网 络 的 组 织 结构 以 及 每 个 工作 站 的 用 途 灵 活 设置 ， 而 
且 可 以 根据 需要 改变 。 浊 辑 地 址 也 叫 软件 地 址 ， 用 于 网 络 层 寻 址 。 例 如 在 图 6-3 (b) 中 ， 以 太 
网 A 中 硬件 地 址 为 101 的 工作 站 的 软件 地 址 为 A.05， 这 种 用 “.” 记 号 表示 地 址 的 方法 既 表 示 
了 工作 站 所 在 的 网 络 ， 也 标识 了 网 络 中 唯一 的 工作 站 。 

路 由 器 根据 网 络 逻辑 地 址 在 互 连 的 子 网 之 间 传递 分 组 。 一 个 子 网 可 能 对 应 于 一 个 物理 网 
段 ， 也 可 能 对 应 于 几 个 物理 网 段 。 路 由 器 适合 于 连接 复杂 的 大 型 网 络 ， 它 工作 于 网 络 层 ， 因 而 
可 以 用 于 连接 下 面 三 层 执行 不 同 协 议 的 网 络 ， 协 议 的 转换 由 路 由 器 完成 ， 从 而 消除 了 网 络 层 协 
议 之 间 的 差别 ， 通 过 路 由 器 连接 的 子 网 在 网 络 层 之 上 必须 执行 相同 的 协议 。 对 于 路 由 器 如 何 协 
调 网 络 协议 之 间 的 差别 ， 如 何 进 行路 由 选择 以 及 如 何在 通信 子 网 之 间 转 发 分 组 ， 将 在 第 10 章 
中 详细 讨论 。 

由 于 路 由 器 工作 于 网 络 层 ， 它 处 理 的 信息 量 比 网 桥 要 多 ， 因 此 处 理 速度 比 网 桥 慢 。 但 路 由 
器 的 互 连 能 力 更 强 ， 可 以 执行 复杂 的 路 由 选择 算法 。 在 具体 的 网 络 互 连 中 ， 采 用 路 由 器 还 是 采 
用 网 桥 ， 取 决 于 网 络 管理 的 需要 和 具体 的 网 络 环境 。 

有 的 网 桥 制 造 商 在 网 桥 上 增加 了 一 些 智 能 设备 ， 从 而 可 以 进行 复杂 的 路 由 选择 ， 这 种 互 连 
设备 叫 作 路 由 桥 (Routing Bridge)。 路 由 桥 虽 然 能 够 运行 路 由 选择 算法 ， 甚 至 能 够 根据 安全 性 
要 求 决定 是 否 转发 数据 帧 ， 但 由 于 它 不 涉及 第 三 层 协议 ， 所 以 还 是 属于 工作 在 数据 链 路 层 的 网 


桥 设备 ， 它 不 能 像 路 由 器 那样 用 于 连接 复杂 的 广域网 络 。 
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站 |A.05 站 |A.12 


DHA104DSA C.14 数据 


DHA106[|DSA C.14 | 数据 


应 用 层 
表示 层 106 [路 
会 话 层 由 
传输 层 网 络 C 115 | 器 
网 络 层 网 络 层 | 网 络 层 | [DHAMT0OTDSA C.14[ 数 据 ] 一 … 
数据 链 路 层 | | 数据 链 路 层 | 数据 链 路 层 站 ] cl [ 站 ] cn4 
物理 层 物理 层 物理 层 Ea 110 
DHA- 目 标 硬件 地 址 。“ DSA- 目 标 软件 地 址 
(a) 概念 模型 (b) 工作 原理 
图 6-3 路 由 器 
6.1.4 网 关 


网 关 是 最 复杂 的 网 络 互 连 设备 ， 它 用 于 连接 网 络 层 之 上 执行 不 同 协议 的 子 网 ， 组 成 异 构 型 
的 因特网 。 网 关 能 对 互 不 兼容 的 高 层 协议 进行 转换 , 例如 在 图 6-4 中 , 使 用 Novell 公司 NetWare 


的 PC 工作 站 和 SNA 网 络 互 连 ， 两 者 不 仅 硬件 不 同 ， 而 且 整 个 数据 结构 和 使 用 的 协议 都 不 


可 


为 了 实现 异 构 型 设备 之 间 的 通信 ， 网 关 要 对 不 同 的 传输 层 、 会 话 层 、 表 示 层 和 应 用 层 协议 进行 


服务 器 一 DEC || DEC 
NetWare VAX VAX 
| | 
客户 端 | | 客户 端 || 客户 端 BR 疝 


(a) 概念 模型 


DOS 工作 站 
以 太 网 


[| 网 关 
VMOS 主 


IBM 9370 VM | 机 SNA 
Asvnc.Coax 


(b) 工作 原理 


so 
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网 关 可 以 做 成 单独 的 箱 级 产品 ， 也 可 以 做 成 电路 板 并 配合 网 关 软 件 用 于 增强 已 有 的 设备 ， 
使 其 具有 协议 转换 的 功能 。 箱 级 产品 性 能 好 但 价格 昂贵 ， 板 级 产品 可 以 是 专用 的 也 可 以 是 非 专 
用 的 。 例 如 ，NetWare 5250 网 关 软 件 可 加 载 到 LAN 的 工作 站 上 ， 这 样 该 工作 站 就 成 为 网 关 服 
务 器 ， 如 图 6-5 所 示 。 网 关 服 务 器 中 除 安装 通常 的 LAN 网 卡 (用 于 连接 局 域 网 ) 外 ， 还 必须 安 
装 一 块 Novell 同步 PC 网 卡 〈 用 于 连接 远程 SDLC 数据 传输 线路 )。 在 网 关 软 件 的 支持 下 ， 网 
关 服 务 器 通过 通信 线路 与 远程 IBM 主机 (AS/400 或 Systemy/3X) 相连 。 如 果 LAN 上 的 工作 站 
运行 NetWare 5250 工作 站 软件 ， 就 可 以 仿真 IBM 5250 终端 ， 也 可 以 实现 主机 和 终端 间 的 文件 
传递 。 这 种 网 关 软 件 提供 专用 和 非 专用 两 种 操作 方式 。 在 非 专用 方式 下 ， 运 行 网 关 软 件 的 计算 
机 既 可 作为 网 关 服务 器 ， 又 可 作为 NetWare 5250 工作 站 。 


同 轴 电 费 


图 6-5 NetWare 网 关 


由 于 工作 复杂 ， 因 而 用 网 关 因特网 络 时 效率 比较 低 ， 而 且 透 明 性 不 好 ， 往 往 用 于 针对 某 种 
特殊 用 途 的 专用 连接 。 

最 后 ， 值 得 一 提 的 是 ， 人 们 的 习惯 用 语 有 些 模糊 不 清 ， 并 不 像 以 上 根据 网 络 协议 层 的 概念 
明确 划分 各 种 网 络 互 连 设 备 。 有 时 并 不 区 分 路 由 器 和 网 关 ， 而 是 把 在 网 络 层 及 其 以 上 进行 协议 
转换 的 互 连 设 备 统称 为 网 关 。 另 外 ， 各 种 网 络 产品 提供 的 互 连 服务 多 种 多 样 ， 因 此 ， 很 难 单纯 
地 按 名 称 来 识别 某 种 产品 的 功能 。 有 了 以 上 关于 网 络 互 连 设备 的 概念 ， 对 读者 了 解 各 种 互 连 设 
备 的 功能 无 疑 是 有 益 的 。 


6.2 广域网 互 连 


广域网 的 互 连 一 般 采用 在 网 络 层 进行 协议 转换 的 办 法 实现 。 这 里 使 用 的 互 连 设备 叫 作 网 
关 ， 更 确切 地 说 ， 是 路 由 器 。 

下 面 介绍 OSI 网 络 层 内 部 的 组 织 , 然后 分 别 讨论 ISO 标准 化 了 的 两 种 网 络 互 连 方法 ， 即 面 
向 连接 的 互 连 方式 和 无 连接 的 互 连 方式 。 
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6.2.1 OSI 网 络 层 内 部 结构 


为 了 实现 类 型 不 同 的 子 网 互 连 ，OSI 把 网 络 层 划分 为 3 个 子 层 ， 如 图 6-6 所 示 。 子 网 访问 
子 层 对 应 于 实际 网 络 的 第 三 层 ， 它 可 能 符合 也 可 能 不 符合 OSI 的 网 络 层 标准 。 如 果 两 个 实际 网 
络 的 子 网 访问 子 层 不 同 ， 则 它们 不 能 简单 地 互 连 。 

子 网 相关 子 层 的 作用 是 增强 实际 网 络 的 服务 ， 使 其 接近 于 OSI 的 网 络 层 服务 ， 两 个 不 同类 
型 的 子 网 经 过 分 别 增强 后 可 达到 相同 的 服务 水 准 。 

子 网 无 关子 层 提供 标准 的 OSI 网 络 服务 , 它 利 用 子 网 相关 于 层 提 供 的 功能 , 按照 OSI 网 络 
层 协 议 实现 两 个 子 网 间 的 互 连 。 

这 种 子 层 结 构 的 划分 并 不 是 强制 性 的 ， 理 论 上 可 以 制定 出 一 种 网 络 层 协议 ， 这 种 协议 可 一 
步 到 位 ， 提 供 所 有 的 OSI 网 络 服务 ， 但 目前 还 没有 这 样 的 协议 出 现 。 各 种 实际 网 络 总 是 存在 一 
些 差 别 ， 因 而 实现 互 连 时 要 采用 一 些 增强 措施 。 当 然 ， 有 时 也 可 能 要 “削弱 ”实际 的 网 络 层 服 
务 ， 例 如 网 际 互 连 采用 数据 报 服务 ， 对 提供 虚 电 路 服务 的 子 网 则 要 削弱 其 功能 ， 即 在 虚 电 路 服 
务 之 上 实现 数据 报 服务 。 以 前 已 经 说 过 ， 这 种 方法 很 不 经 济 ， 然 而 却 是 不 得 已 而 为 之 。 网 络 层 
的 3 个 子 层 结构 对 应 于 网 络 互 连 的 3 种 策略 ， 下 面 分 别 讨论 。 

第 一 种 策略 建立 在 子 网 支持 所 有 OSI 网 络 服务 的 假设 上 ， 这 样 的 子 网 不 需 增强 ,在 网 络 层 
可 直接 相连 ， 并 提供 需要 的 网 络 服务 。 

第 二 种 策略 是 分 别 增强 实际 网 络 的 功能 , 以 便 提供 同样 的 网 络 服务 , 这 种 互 连 方法 如 图 6-7 所 示 。 


传输 层 传输 层 
网 络 增 
网 络 增 强 子 层 
强 子 层 
子 网 无 关子 层 
子 网 相关 子 层 网 络 层 全 全 
子 网 访问 子 层 子 网 A TIS 子 网 B 
图 6-6 网 络 层 的 内 部 结构 图 6-7 用 分 别 增强 法 进行 网 络 互 连 


该 图 中 的 中 间 系 统 在 左边 连接 子 网 A， 两 个 子 层 分 别 运 行 子 网 访问 协议 (SubNetwork 
Access Protocol，SNACP) A 和 子 网 相关 的 汇聚 协议 〈SubNetwork Dependent Convergence 
Protocol，SNDCP) A。SNACP A 是 与 实际 子 网 A 相 联系 的 协议 ，SNDCP A 是 对 子 网 A 的 增 
强 协议 。 中 间 系 统 右边 连接 子 网 B，SNACPB 和 SNDCP B 与 左边 的 对 应 协议 类 似 。 经 过 不 同 
的 增强 后 ， 子 网 A 和 B 都 提供 相同 的 OSI 网 络 层 服 务 ， 中 间 系 统 提供 路 由 选择 和 中 继 功 能 。 
这 种 互 连 方法 对 应 于 面向 连接 的 网 际 互 连 。 

第 三 种 互 连 策略 是 采用 统一 的 因特网 协议 ， 这 种 互 连 方法 如 图 6-8 所 示 。 
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网 络 层 


子 网 访问 子 层 A| 子 网 访问 子 层 B 


图 6-8 采用 因特网 协议 进行 网 络 互 连 


该 图 中 的 子 网 无 关 的 会 聚 协议 (SubNetwork Independent Convergence Protocol，SNICP) 就 
是 一 种 网 际 协议 ， 它 对 每 一 个 子 网 的 要 求 最 小 ， 因 而 可 能 覆盖 了 两 边 子 网 的 部 分 功能 。 这 虽然 


有 些 浪费 ， 但 不 失 为 一 种 解决 问题 的 办 法 。 通 常 ，SNICP 采用 无 连接 的 网 络 协议 。 
6.2.2 面向 连接 的 网 际 互 连 


实现 面向 连接 的 网 际 互 连 的 前 提 是 子 网 提供 面向 连接 的 服务 , 这 样 可 以 用 路 


或 多 个 子 网 ， 路 由 器 是 每 个 子 网 中 的 DTE。 当 不 同 子 网 中 的 DTE 要 进行 通信 时 ， 


器 连接 两 个 
就 通过 路 由 


器 建立 一 条 跨 网 络 的 虚 电 路 。 这 种 网 际 虚 电 路 是 通过 路 由 器 把 两 个 子 网 中 的 虚 电 路 级 连 起 来 实 


现 的 。 图 6-9 所 示 为 用 路 由 器 连接 一 个 X.25 分 组 交换 网 和 一 个 局 域 网 的 例子 。 


主机 A DCE X DCEY 路 由 器 主机 B 
TP 
TP A SE X.25-3 
X25-3 X253 | 组 [ X25-3 X.25-3 | LLC LLC 
X25-2 X252 | 交 | X.25-2 X25-2 | MAC MAC | 
X25-1 | | X25-1 车 X.25-1 | | X.25-1 | PHY PHY | 
子 网 连接 地 址 | LAN | 子 网 连接 地 址 


[HT 数据] 网 络 层 服务 数据 单元 
PH | TH | 数据 X25 网 络 层 分 组 
[HTPHT THT 数据 [| LT ]LAPB 帧 


LLCH | PH | TH [数据 ] LAN LLC 帧 


[MAcH [FrcH | PH | TH [数据 | MACH | LAN MAC 帧 
TH- 传 输 头 :IPH-IP 头 :PH-X.25 分 组 头 ;LH-LAP-B 帧 头 ;LT-LAP-B 帧 尾 ; 
LLCH-LAN LLC 帧 头 ; MACH-LAN MAC 帧 头 ; MACT-LAN MAC 帧 尾 


图 6-9 X25 因特网 的 例子 
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1. 网 际 虚 电 路 


假定 图 6-9 中 的 主机 A 希望 与 主机 B 建立 逻辑 连接 。 当 主机 A 的 传输 层 〈TP) 发 出 建立 
虚 电 路 的 请 求 时 ,把 B 的 网 络 地 址 (网 络 , 主 机 ) 传 递 给 网 络 层 。 在 A 的 网 络 层 发 出 的 Call Request 
分 组 中 ， 这 个 网 络 地 址 被 放 在 特别 业务 字段 中 ， 叫 作 被 呼 方 扩展 地 址 。 在 分 组 头 的 被 呼 方 地 址 
字段 中 包含 的 是 路 由 器 与 分 组 交换 网 的 子 网 连接 地 址 (注意 ， 路 由 器 对 每 个 网 络 分 别 有 一 个 子 
网 连接 地 址 )。 这 样 ， 利 用 Call Request 分 组 头 中 的 信息 ，X.25 协议 可 以 建立 一 条 从 主机 A 到 
路 由 器 的 逻辑 连接 。 

当 路 由 器 收 到 主机 A 的 呼 入 请 求 (Incoming Call) 分 组 时 ， 路 由 器 并 不 能 立即 决定 是 否 接 
受 这 个 请 求 ， 它 必须 根据 特别 业务 字段 中 的 被 呼 方 扩展 地 址 把 连接 请 求 传递 给 局 域 网 中 的 主机 
B。 路 由 器 自动 构造 一 个 新 的 Call Request 分 组 ， 这 个 分 组 的 被 呼 方 地 址 字段 包含 着 主机 B 的 
子 网 连接 地 址 。 假如 主机 B 接受 了 路 由 器 发 出 的 连接 请 求 , 路 由 器 才 可 以 向 主机 A 发 回 呼叫 接 
收 分 组 ， 于 是 两 个 网 络 之 间 分 别 建立 了 一 条 网 际 虚 电路 。 


2. 数据 传输 


当 网 际 虚 电 路 建立 后 ， 路 由 器 就 完成 了 两 个 虚 电 路 号 之 间 的 映像 功能 ， 并 把 从 和 .25 网 络 
来 的 数据 分 组 转发 到 局 域 网 中 对 应 的 虚 电 路 上 去 ， 或 者 进行 相反 方向 的 转发 。 在 网 际 虚 电 路 的 
不 同 部 位 传送 的 分 组 和 帧 的 组 成 如 图 6-9 所 示 。 

路 由 器 可 能 还 要 完成 分 段 和 重 装配 功能 。 如 果 互 连 的 两 个 子 网 的 最 大 分 组 长 度 不 同 ， 路 由 
器 可 以 把 大 的 分 组 划分 成 完备 分 组 序列 ， 使 其 可 通过 最 大 分 组 长 度 较 小 的 子 网 ， 也 可 以 把 完备 
分 组 序列 重 装配 成 大 的 分 组 ， 以 便 在 分 组 长 度 较 大 的 子 网 上 提高 传输 效率 。 


3. X.75 网 关 


图 6-9 中 的 路 由 器 也 叫 X.25 网 关 ， 它 执行 X.25 协议 ， 从 而 实现 两 个 子 网 的 互 连 。 这 种 网 
关 (或 路 由 器 ) 可 以 安装 在 任何 一 个 子 网 中 ， 由 两 个 网 络 的 所 有 者 共同 管理 。 

在 广域网 互 连 时 ， 共 同 营运 一 个 网 关 可 能 在 管理 策略 或 经 济 利益 方面 无 法 协调 。 那 么 可 以 
把 网 关 一 分 为 二 ， 形 成 两 个 半 网 关 。 半 网 关 作为 它 所 属 的 子 网 中 的 DTE， 两 个 半 网 关 之 间 执行 
X.75 协议 ， 如 图 6-10 所 示 。 

图 中 半 网 关 G 在 其 所 属 的 子 网 中 起 着 X.25 主机 的 作用 ， 左 边 的 G1 对 应 于 图 6-10 中 路 由 
器 的 左 半边 ， 而 G2 对 应 于 路 由 器 的 右 半 边 。 不 仅 如 此 ，G1 和 G2 之 间 按 X.75 协议 相互 作用 ， 
而 不 是 像 路 由 器 那样 仅仅 实现 分 组 的 转发 和 地 址 变换 功能 。 
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X.25 X.75 X25 


图 6-10 X.75 网 关 


X.75 建议 与 X.25 建议 兼容 ， 能 实现 X.25 建议 的 全 部 功能 。X.75 分 组 格式 是 X.25 分 组 格 
式 的 扩充 ， 主 要 是 增加 了 网 络 控制 字段 ， 从 而 用 户 可 使 用 更 多 的 特别 业务 。 


6.2.3 ”无 连接 的 网 际 互 连 


因特网 协议 (Internet Protocol，IP) 是 为 ARPAnet 研制 的 网 际 数据 报 协议 ， 后 来 ISO 以 此 
为 蓝本 开发 了 无 连接 的 网 络 协议 (ConnectionLess Network Protocol，CLNP)。 卫 与 CLNP 的 功 
能 十 分 相似 ， 差 别 只 在 于 个 别 细节 和 分 组 格式 不 同 。 本 小 节 讨论 因特网 协议 的 特点 ， 虽 然 在 叙 
述 中 只 提 到 于， 但 是 讨论 的 技术 对 两 者 都 是 适用 的 。 

事实 上 , 一 些 网 络 经 过 网 关 互相 连接 的 情况 类 似 于 分 组 交换 网 内 部 的 组 织 , 图 6-11 是 分 组 
交换 网 和 因特网 对 比 的 例子 。 因 特 网 中 的 网 关 G1、G2 和 G3 分 别 对 应 于 分 组 交换 网 中 的 交换 
节点 S1、S2 和 S3, 而 因特网 中 的 子 网 N1、N2 和 N3 分 别 对 应 于 分 组 交换 网 中 的 传输 链 路 T1、 
T2 和 T3。 网 关 起 到 了 分 组 交换 的 作用 ， 通 过 与 它 相连 的 网 络 把 分 组 从 源 端 Hl 传送 到 目标 端 
H2， 或 者 相反 。 


(a) 分 组 交换 网 内 部 结构 (b) 因特网 的 结构 
图 6-11 因特网 和 网 络 的 对 比 
图 6-12 中 给 出 了 利用 卫 协议 把 数据 报 从 X.25 分 组 交换 网 中 的 主机 A 传送 到 局 域 网 中 的 


主机 B 的 操作 过 程 。 路 由 器 连接 两 个 子 网 并 执行 协议 的 转换 。 在 主机 A 中 ，TCP 送 来 的 数据 
经 过 了 正 协议 包装 成 网 际 数据 报 ， 其 中 的 下头 中 包含 着 主机 B 的 网 络 地 址 。 网 际 数据 报 在 X.25 
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网 络 中 传播 时 经 过 多 个 交换 节点 ， 最 后 到 达 路 由 器 。 路 由 器 首先 把 X.25 分 组 向 上 层 递 交 ， 恒 


、 帧 尾 暴 露出 P 头 ， 然 后 根据 人 P 头 中 的 地 址 把 数据 报 下 载 到 局 域 网 中 ， 最 后 传送 到 主 


机 B。 更 一 般 的 情况 是 中 间 要 经 过 多 个 路 由 器 , 每 个 路 由 器 都 根据 他 头 中 的 网 络 地 址 决定 转发 


的 方向 


。 当 转发 的 下 一 个 网 络 的 最 大 分 组 长 度 小 于 当前 的 数据 报 长 度 时 ， 路 由 器 必须 将 数据 报 


分 段 ， 形 成 多 个 短 数据 报 ， 然 后 按 一 定 的 顺序 把 它们 转发 出 去 。 在 目标 端 ， 短 数据 报 经 过 下 
协议 实体 排序 ， 组 装 成 原来 的 数据 字段 再 提交 给 上 层 。 


主机 A DCEX DCEY 路 由 器 主机 B 
TCP TCP 
Pp 了 
X25-3 X25-3 ]¥ ss LLC 
X25-2 X25-2 | 交 | X252 MAC 
X.25-1 X25-1 | 换 | x251 | | PHY 
LAN 
[TH 数据] ”网络 层 服务 数据 单元 
PH | TH 数据 ] ”网际 数据 报 
[Pa | Ia | TH 数据 X25 网 络 层 分 组 
LH | PH IPH | TH | 数据 | LT |]LAPB 帧 


LLCH | IPH | TH | 数据 LAN 逻辑 链 路 控制 子 层 帧 


MACH [LLCHT IPH | TH | 数据 | MACT |]LAN 介 质 访问 子 层 由 
TH- 传 输 头 ;IPHLIP 头 ; PHX.25 分 组 头 ;LH-LAP-B 帧 头 ;: LT-LAP.B 帧 尾 ; 
LLCHELAN LLC 帧 头 MACH-LAN MAC 帧 头 ;MACT-LAN MAC 帧 尾 


图 6-12 网 际 协议 的 操作 过 程 举 例 


实际 上 ， 网 际 协议 要 解决 的 问题 与 网 络 层 协议 是 类 似 的 。 在 网 际 层 提供 路 由 信息 的 手段 仍 


由 器 地 


表 。 每 个 站 或 路 由 器 中 都 有 一 个 网 际 路 由 表 ， 表 的 每 一 行 说 明 与 一 个 目标 站 对 应 的 路 


中。 网 际 地 址 通常 采用 “网 络 主 机 ”的 形式 ， 其 中 ， 网 络 部 分 是 子 网 的 地 址 编码 ， 主 机 


部 分 是 子 网 中 主机 的 地 址 编码 。 


图 


6-13 所 示 为 一 个 实际 的 路 由 表 。 路 由 表 中 的 目标 一 栏 记 录 的 是 目标 网 络 号 ， 而 不 是 主 


机 的 网 络 地 址 ， 这 样 可 以 大 大 减少 路 由 表 的 行 数 。 同 时 ， 路 由 表 中 也 不 记录 到 达 目 标的 延迟 时 
间 ， 而 代 之 以 跳 步 数 ， 即 经 过 的 路 由 器 个 数 。 据 此 ，R3 如 果 收 到 一 个 目标 地 址 为 50.117.102.3 的 数 
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据 报 ， 则 可 根据 路 由 表 转 发 到 地 址 为 40.0.0.2 的 路 由 器 R2， 再 通过 R4 转发 到 50.0.0.0 网 络 中 。 


目标 主机 网 络 号 转发 路 径 
10.0.0.0 直接 转发 
20.0.0.0 直接 转发 


30.0.0.0 


30.0.0.0 40.0.0.2 
40.0.0.0 直接 转发 
50.0.0.0 40.0.0.2 


(b) R3 的 路 由 表 
图 6-13 因特网 中 的 路 由 表 


路 由 表 可 以 是 静态 的 或 动态 的 。 静态 路 由 表 也 提供 可 选择 的 第 二 、 第 三 最 佳 路 由 。 动态 路 
由 表 在 应 付 网 络 的 失效 和 拥挤 方面 更 灵活 。 在 国际 因特网 中 ， 当 一 个 路 由 器 关机 时 ， 与 该 路 由 
器 相 邻 的 路 由 器 和 主机 都 发 出 状态 报告 ， 使 别 的 路 由 器 或 主机 修改 它们 的 路 由 表 。 对 拥挤 路 段 
也 可 以 同样 处 理 。 在 因特网 环境 下 ， 各 个 子 网 〈 可 能 是 远程 网 或 局 域 网 ) 的 容量 差别 很 大 ， 更 
容易 发 生 拥挤 ， 因 而 更 要 发 挥动 态 路 由 的 优势 。 

更 复杂 的 路 由 表 还 可 支持 安全 和 优先 服务 。 例 如 ， 有 的 网 络 从 安全 角度 考虑 不 适宜 处 理 某 
些 数据 ， 则 路 由 表 可 以 控制 不 要 把 这 类 数据 转发 到 不 安全 的 网 络 中 去 。 

选择 路 由 的 另外 一 种 技术 是 源 路 由 法 ， 即 源 端 在 数据 报 中 列 出 要 经 过 的 一 系列 路 由 器 。 这 
种 方法 也 可 以 提供 安全 服务 。 

路 由 记录 服务 是 一 种 与 路 由 选择 有 关 的 特殊 服务 。 数 据 报 经 过 的 每 一 个 路 由 器 都 把 自己 的 


地 址 加 入 其 


Ph， 这 样 ， 目 标 端 就 可 以 知道 该 数据 报 的 旅行 轨迹 。 在 进行 网 络 测试 或 查 错时 这 个 
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服务 很 有 用 。 
6.3 IP 协议 


Internet 是 今天 使 用 最 广泛 的 网 络 。 因 特 网 中 的 主要 协议 是 TCP 和 卫 ， 所 以 ，IPtermet 协议 
也 叫 TCP/IP 协议 簇 。 这 些 协议 可 划分 为 4 个 层次 ， 它 们 与 OSIURM 的 对 应 关系 如 表 6-1 所 示 。 
由 于 ARPAnet 的 设计 者 注重 的 是 网 络 互 连 ， 允许 通信 子 网 采用 已 有 的 或 将 来 的 各 种 协议 , 所 以 
这 个 层次 结构 中 没有 提供 网 络 访 问 层 的 协议 。 实 际 上 ，TCP/IP 协议 可 以 通过 网 络 访问 层 连接 到 
任何 网 络 上 ， 例 如 X.25 分 组 交换 网 或 IFEE 802 局 域 网 。 
表 6-1 TCP/IP 协议 簇 与 OSVRM 的 比较 
OSI TCP/IP 
6 | A | 6 
4 人 
二 
2 
1 


网 络 互 连 导 
数据 链 路 导 
| 物 形 | 1 | 网络 访问 导 


与 OSVRM 分 层 的 原则 不 同 ， TCP/IP 协议 簇 允许 同 层 的 协议 实体 间 互 相 调 用 ， 从 而 完成 复 
杂 的 控制 功能 ， 还 允许 上 层 过 程 直接 调用 不 相 邻 的 下 层 过 程 ， 甚 至 在 有 些 高 层 协议 中 控制 信息 
和 数据 分 别传 输 ， 而 不 是 共享 同一 个 协议 数据 单元 。 在 下 面具 体 的 讨论 中 读者 将 看 到 这 些 特点 
的 表现 。 图 6-14 所 示 为 主要 协议 之 间 的 调用 关系 。 


BGP HTTP 
SMTP TELNET| | FTP SNMP TFTP 
TCP | UDP 
OSPF RIP [L_ICMP 
Pp ARP RARP 
任何 局 域 网 (网络 访问 层 ) 


图 6-14 Internet 的 主要 协议 
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卫 协议 是 Intemet 中 的 网 络 层 协 议 ,作为 提供 无 连接 服务 的 例子 , 在 这 里 介绍 人 P 协议 的 基 
本 操作 和 协议 数据 单元 的 格式 。 


6.3.1 IP 地 址 


JP 网 络 地 址 采用 “网 络 。 主 机 ”的 形式 ， 其 中 网 络 部 分 是 网 络 的 地 址 编码 ， 主 机 部 分 是 网 
络 中 一 个 主机 的 地 址 编码 。IP 地 址 的 格式 如 图 6-15 所 示 。 


1.0.0.0~127.255.255.255 


A 

B 128.0.0.0~191.255.255.255 
C 192.0.0.0~223.255.255.255 
D 224.0.0.0~239.255.255.255 
E 240.0.0.0~255.255.255.255 


图 6-15 了 地址 的 格式 


卫 地 址 分 为 5 类 。A、B、C 类 是 常用 地 址 。JP 地 址 的 编码 规定 全 0 表示 本 地 地 址 ， 即 本 
地 网 络 或 本 地 主机 ; 全 1 表示 广播 地 址 ， 任 何 网 站 都 能 接收 。 所 以 ， 除 去 全 0 和 全 1 地 址 外 ， 
A 类 有 126 个 网 络 地 址 ，1600 万 个 主机 地 址 ; B 类 有 16 382 个 网 络 地 址 ，64 000 个 主机 地 址 ; 
C 类 有 200 万 个 网 络 地 址 ，254 个 主机 地 址 。 

卫 地 址 通常 用 十 进 制 数 表 示 ， 即 把 整个 地 址 划分 为 4 个 字 节 ， 每 个 字 节 用 一 个 十 进 制 数 表 
示 ， 中 间 用 圆 点 分 隔 。 根 据 瑟 地 址 的 第 一 个 字 节 ， 就 可 判断 它 是 A 类 、B 类 还 是 C 类 地 址 。 

了 P 地 址 由 美国 Intemet 信息 中 心 (InterNIC) 管理 。 如 果 想 加 入 Internet, 就 必须 向 InterNIC 
或 当地 的 NIC《〈 例 如 CNNIC) 申请 下 地 址 。 如 果 不 加 入 Intemet， 只 是 在 局 域 网 中 使 用 TCP/IP 
协议 ， 则 可 以 自己 设计 下 地 址 ， 只 要 网 络 内 部 不 冲突 就 可 以 了 。 

一 种 更 灵活 的 寻 址 方案 引入 了 子 网 的 概念 , 即 把 主机 地 址 部 分 再 划分 为 子 网 地 址 和 主机 地 
址 ， 形 成 了 三 级 寻 址 结构 。 这 种 三 级 寻 址 方式 需要 子 网 掩 码 的 支持 ， 如 图 6-16 所 示 。 

32 位 


9 地 


子 网 抹 码 11111111111111111111110000000000 


图 6-16 子 网 掩 码 
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子 网 地 址 对 网 络 外 部 是 透明 的 。 当 人 P 分 组 到 达 目 标 网 络 后 ， 网 络 边界 路 由 器 把 32 位 的 中 
地 址 与 子 网 掩 码 进行 逻辑 “与 ”运算 , 从 而 得 到 子 网 地 址 , 并 据 此 转发 到 适当 的 子 网 中 。 图 6-17 
所 示 为 B 类 网 络 地 址 被 划分 为 两 个 子 网 的 情况 。 


网 络 地 址 子 网 地 址 主机 地 址 
于 网 11111111.11111111.11110000.00000000 
130. 47. 16. 254 10000010.00101111.00010000.11111110 
130. 47. 17. 01 10000010.00101111.00010001.00000001 
131. 47. 64. 254 10000010.00101111.01000000.11111110 
131. 47. 65. 01 10000010.00101111.01000001.00000001 


图 6-17 人 P 地 址 与 子 网 掩 码 


虽然 子 网 掩 码 是 对 网 络 编 址 的 有 益 补充 ， 但 是 还 存在 着 一 些 缺陷 。 例 如 ， 一 个 组 织 有 几 个 
包含 25 台 左 右 计 算 机 的 子 网 ， 又 有 一 些 只 包含 几 台 计算 机 的 较 小 的 子 网 。 在 这 种 情况 下 ， 如 
果 将 一 个 C 类 地 址 分 成 6 个 子 网 ， 每 个 子 网 可 以 包含 30 台 计算 机 ， 大 的 子 网 基本 上 利用 了 全 
部 地 址 ， 但 是 小 的 子 网 却 浪费 了 许多 地 址 。 为 了 解决 这 个 问题 ， 避 免 任 何 可 能 的 地 址 浪费 ， 就 
出 现 了 可 变 长 子 网 手 码 (Variable Length Subnetwork Mask，VLSM) 的 编 址 方案 。 这 样 ， 可 以 
在 卫 地 址 后 面 加 上 “/ 位 数 ” 来 表示 子 网 掩 码 中 “1” 的 个 数 。 例 如 ，202.117.125.0/27 的 前 27 
位 表示 网 络 号 和 子 网 号 ， 即 子 网 掩 码 为 27 位 长 ， 主 机 地 址 为 5 位 长 。 图 6-18 所 示 为 一 个 子 网 
划分 的 方案 ， 这 样 的 编 址 方法 可 以 充分 利用 地 址 资源 ， 特 别 是 在 网 络 地 址 紧缺 的 情况 下 尤其 


10.1.0.0/24 
| : 
10.1.127.0/24 


10.1.128.0/20 
10.1.144.0/20 
10.1.160.0/20 
10.0.:0.0116/ 101.128.0/17< 10.1.176.0/20 
10.1.0.0/16 10.1.192.0/20 
10.2.0.0/16 10.1.206.0/20 
10.1.224.0/20 
1 10.1.240.0/20 
10.254.0.0/18 
10.253.0.0/16 | 10.254.64.0/18 


10.254.0.0/16 


10.255.0.0/16 10.254.128.0/18 
10.254.192.0/18 


图 6-18 可 变 长 子 网 掩 码 
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在 点 对 点 通信 (unicast) 中 使 用 A、B 和 C 类 地 址 ， 这 类 地 址 都 指向 某 个 网 络 中 的 一 个 主 
机 。D 类 地 址 是 组 播 地 址 ， 组 播 (multicast) 和 广播 (broadcast) 类 似 ， 都 属于 点 对 多 点 通信 ， 
但 是 又 有 所 不 同 。 组 播 的 目标 是 一 组 主机 ， 而 广播 的 目标 是 所 有 主机 。 在 一 些 新 的 网 络 应 用 中 
要 用 到 组 播 地 址 ， 例 如 网 络 电视 (LAN TV)、 桌 面 会 议 (desktop conferencing)、 协 同 计算 
(collaborative computing) 和 团体 广播 (corporate broadcast) 等 ， 这 些 应 用 都 是 向 一 组 主机 发 送 
信息 。 

实现 组 播 需要 特殊 的 方法 。 首 先是 网 络 中 必须 有 能 识别 组 播 地 址 的 路 由 器 ， 这 种 路 由 器 叫 
作 组 播 网 关 ， 它 接受 一 个 目标 地 址 为 组 地 址 的 数据 报 并 转发 到 相应 的 网 络 中 。 其 次 ， 主 机 要 能 
够 发 送 组 播 数据 报 ， 这 需要 给 了 P 软件 增加 两 个 功能 ， 其 一 是 人 P 软件 要 能 够 接受 应 用 软件 指定 
的 目标 组 地 址 , 其 二 是 网 络 接口 软件 要 能 够 把 他 组 地 址 映射 到 硬件 组 地 址 或 广播 地 址 上 。 另 外 ， 
主机 还 需要 能 够 接收 组 播报 文 , 这 要 求 主机 中 的 人 P 软件 能 够 向 组 播 网 关 声 明 加 入 或 退出 某 个 地 
址 组 ， 并 且 当 组 播 数 据 报 来 到 时 向 同一 组 的 各 个 应 用 软件 各 发 送 一 个 副本 。 事 实 上 ，IP 软件 为 
主机 连接 的 每 一 个 网 络 维护 一 个 组 播 地 址 表 ， 以 指示 各 个 网 络 中 的 组 地 址 分 布 情况 ， 这 些 功 能 
在 卫 软件 中 是 不 难 实现 的 。 

E 类 保留 作为 研究 之 用 ， 以 后 的 IPv6 地 址 就 是 在 此 基础 上 扩展 的 。 


6.3.2 “IP 协议 的 操作 
下 面 分别 讨 论 中 协议 的 一 些 主要 操作 。 
1. 数据 报 生存 期 


如 果 使 用 了 动态 路 由 选择 算法 ， 或 者 允许 在 数据 报 旅行 期 间 改变 路 由 决策 ， 则 有 可 能 造成 
回路 。 最 坏 的 情况 是 数据 报 在 因特网 中 无 休止 地 巡回 , 不 能 到 达 目 的 地 并 浪费 大 量 的 网 络 资源 。 

解决 这 个 问题 的 办 法 是 规定 数据 报 有 一 定 的 生存 期 , 生存 期 的 长 短 以 它 经 过 的 路 由 器 的 多 
少 计数 。 每 经 过 一 个 路 由 器 ， 计 数 器 加 1， 计 数 器 超过 一 定 的 计数 值 ， 数 据 报 就 被 丢弃 。 当 然 ， 
也 可 以 用 一 个 全 局 的 时 钟 记录 数据 报 的 生存 期 ， 在 这 种 方案 下 ， 生 成 数据 报 的 时 间 被 记录 在 报 
头 中 ， 每 个 路 由 器 查看 这 个 记录 ， 决 定 是 继续 转发 ， 还 是 丢弃 它 。 

2. 分 段 和 重 装配 


每 个 网 络 可 能 规定 了 不 同 的 最 大 分 组 长 度 。 当 分 组 在 因特网 中 传送 时 ， 可 能 要 进入 一 个 最 
大 分 组 长 度 较 小 的 网 络 ， 这 时 需要 对 它 进行 分 段 ， 这 又 引出 了 新 的 问题 : 在 哪里 对 它 进行 重 装 
配 ? 一 种 办 法 是 在 目的 地 重 装配 。 但 这 样 只 会 把 数据 报 越 分 越 小 ， 即 使 后 续 子 网 允许 较 大 的 分 
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组 通过 ， 但 由 于 途中 的 短 报 文 无 法 装配 ， 从 而 使 通信 效率 下 降 。 

另外 一 种 办 法 是 允许 中 间 的 路 由 器 进行 重 装配 ， 这 种 方法 也 有 缺点 。 首 先是 路 由 器 必须 提 
供 重 装配 缓冲 区 ， 并 且 要 设法 避免 重 装配 死 锁 ; 其 次 是 由 一 个 数据 报 分 出 的 小 段 都 必须 经 过 同 
一 个 出 口 路 由 器 才能 再 行 组 装 ， 这 就 排除 了 使 用 动态 路 由 选择 算法 的 可 能 性 。 

现在 ， 关 于 分 段 和 重 装配 问题 的 讨论 还 在 继续 ， 已 经 提出 了 各 种 各 样 的 方案 。 下 面 介绍 在 
DoD (美国 国防 部 ) 和 ISO 的 下 协议 中 使 用 的 方法 ， 这 个 方法 有 效 地 解决 了 以 上 提出 的 部 分 
问题 。 

卫 协议 使 用 了 4 个 字段 处 理 分 段 和 重 装配 问题 。 一 个 是 报 文 ID 字段 ， 它 唯一 地 标识 了 某 
个 站 某 一 个 协议 层 发 出 的 数据 。 在 DoD 的 了 正 协 议 中 ，ID 字段 由 源 站 和 目标 站 地 址 、 产 生 数 据 
的 协议 层 标 识 符 以 及 该 协议 层 提供 的 顺序 号 组 成 。 第 二 个 字段 是 数据 长 度 ， 即 字 节 数 。 第 三 个 
字段 是 偏 置 值 ， 即 分 段 在 原来 数据 报 中 的 位 置 ， 以 8 个 字 节 (64 位 ) 的 倍数 计数 。 最 后 是 M 
标志 ， 表 示 是 否 为 最 后 一 个 分 段 。 

当 一 个 站 发 出 数据 报时 对 长 度 字段 的 赋值 等 于 整个 数据 字段 的 长 度 ， 偏 置 值 为 0，M 标志 
置 False (用 0 表示 )。 如 果 一 个 中 模块 要 对 该 报 文 分 段 ， 则 按 以 下 步骤 进行 。 

(1) 对 数据 块 的 分 段 必 须 在 64 位 的 边界 上 划分 ， 因 而 除 最 后 一 段 外 ， 其 他 段 长 都 是 64 位 
的 整数 倍 。 

(2) 对 得 到 的 每 一 分 段 都 加 上 原来 数据 报 的 他 头 ， 组 成 短 报 文 。 

(3) 每 一 个 短 报 文 的 长 度 字 段 置 为 它 包 含 的 字 节 数 。 

(4) 第 一 个 短 报 文 的 偏 置 值 置 为 0， 其 他 短 报 文 的 偏 置 值 为 它 前 边 所 有 报 文 长 度 之 和 〔 字 
节 数 ) 除 以 8。 

(5) 最 后 一 个 报 文 的 M 标志 置 为 0 (False)， 其 他 报 文 的 M 标志 置 为 1 (True)。 

表 6-2 所 示 为 一 个 分 段 的 例子 。 


表 6-2 数据 报 分 段 的 例子 


M 标志 
原来 的 数据 报 0 
第 一 个 分 段 
第 二 个 分 段 0 


重 装 配 的 卫 模块 必须 有 足够 大 的 缓冲 区 。 整 个 重 装配 序列 以 偏 置 值 为 0 的 分 段 开始 ， 以 
M 标志 为 0 的 分 段 结束 ， 全 部 由 同一 了 的 报 文 组 成 。 
在 数据 报 服务 中 可 能 出 现 一 个 或 多 个 分 段 不 能 到 达 重 装配 点 的 情况 。 为 此 ， 采 用 两 种 对 策 
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应 付 这 种 意外 。 一 种 是 在 重 装配 点 设置 一 个 本 地 时 钟 ， 当 第 一 个 分 段 到 达 时 把 时 钟 置 为 重 装配 
周期 值 ， 然 后 递减 ， 如 果 在 时 钟 值 减 到 零 时 还 没 等 齐 所 有 的 分 段 ， 则 放弃 重 装配 。 另 外 一 种 对 
策 与 前 面 提 到 的 数据 报 生存 期 有 关 ， 目 标 站 的 重 装配 功能 在 等 待 的 过 程 中 继续 计算 已 到 达 的 分 
段 的 生存 期 ， 一 旦 超过 生存 期 ， 就 不 再 进行 重 装 配 ， 丢 弃 已 到 达 的 分 段 。 显 然 ， 这 种 计算 生存 
期 的 办 法 必须 有 全 局 时 钟 的 支持 。 


3. 差错 控制 和 流 控 


无 连接 的 网 络 操作 不 保证 数据 报 的 成 功 提交 ， 当 路 由 器 丢弃 一 个 数据 报时 ， 要 尽 可 能 地 向 
源 点 返回 一 些 信息 。 源 点 的 下 实体 可 以 根据 收 到 的 出 错 信息 改变 发 送 策略 或 者 把 情况 报告 上 层 
协议 。 丢 弃 数 据 报 的 原因 可 能 是 超过 生存 期 、 网 络 拥塞 和 FCS 校 验 出 错 等 。 在 最 后 一 种 情况 下 
可 能 无 法 返回 出 错 信息 ， 因 为 源 地 址 字段 已 不 可 辨认 了 。 

路 由 器 或 接收 站 可 以 采用 某 种 流 控 机 制 来 限制 发 送 速率 。 对 于 无 连接 的 数据 报 服务 ， 可 采 
用 的 流 控 机 制 是 很 有 限 的 。 最 好 的 办 法 也 许 是 向 其 他 站 或 路 由 器 发 送 专门 的 流 控 分 组 ， 使 其 改 
变 发 送 速率 。 
6.3.3 “IP 协议 数据 单元 

了 P 协议 的 数据 格式 如 图 6-19 所 示 ， 其 中 的 字段 如 下 。 


Tv | 有 RN 


| 
| 
任 选 数据 + 补 


用 户 数据 


图 6-19 了 协议 格式 


。 ”版 本 号 : 协议 的 版 本 号 ， 不 同 版 本 的 协议 格式 或 语义 可 能 不 同 ， 现 在 常用 的 是 IPv4， 
正在 逐渐 过 渡 到 IPv6。 

。 ”IHL: 人 P 头 长 度 ， 以 32 位 字 计 数 ， 最 小 为 5， 即 20 个 字 节 。 

。 ”服务 类 型 用 于 区 分 不 同 的 可 靠 性 、 优 先 级、 延迟 和 吞吐 率 的 参数 。 

。 ”总 长 度 : 包含 下 头 在 内 的 数据 单元 的 总 长 度 〈 字 节 数 )。 
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。 ”标识 符 : 唯一 标识 数据 报 的 标识 符 。 

。 ”标志 : 包括 3 个 标志 ， 一 个 是 M 标志 ， 用 于 分 段 和 重 装配 ; 另 一 个 是 禁止 分 段 标志 ， 
如 果 认 为 目标 站 不 具备 重 装配 能 力 ， 则 可 使 这 个 标志 置 位 ， 这 样 如 果 数 据 报 要 经 过 一 
个 最 大 分 组 长 度 较 小 的 网 络 , 就 会 被 丢弃 , 因而 最 好 使 用 源 路 由 以 避免 这 种 灾难 发 生 ; 
第 3 个 标志 当前 没有 启用 。 

。 段 偏 署 值 : 指明 该 段 处 于 原来 数据 报 中 的 位 置 。 

。 ”生存 期 用 经 过 的 路 由 器 个 数 表示 。 

。 ， 协议: 上 层 协议 〈TCP 或 UDP)。 

。 头 校 检 和 : 对 下 头 的 校 验 序列 。 在 数据 报 传输 过 程 中 正 头 中 的 某 些 字段 可 能 改变 ( 例 
如 生存 期 ， 以 及 与 分 段 有 关 的 字段 )， 所 以 校 检 和 要 在 每 一 个 经 过 的 路 由 器 中 进行 校 
验 和 重新 计算 。 校 检 和 是 对 中 头 中 的 所 有 16 位 字 进 行 1 的 补 码 相 加 得 到 的 ， 计 算 时 
假定 校 检 和 字段 本 身 为 0。 

。 ， 源 地 址 : 给 网 络 和 主机 地 址 分 别 分 配 若干 位 ， 例 如 7 和 24、14 和 16、21 和 8 等 。 

。 目标 地 址 : 同上 。 

。 ， 任 选 数据 : 可 变 长 ， 包 含 发 送 者 想 要 发 送 的 任何 数据 。 

。 补丁: 补 齐 32 位 的 边界 。 

。 用 户 数据 : 以 字 节 为 单位 的 用 户 数据 ， 和 正 头 加 在 一 起 的 长 度 不 超过 65 535 字 节 。 


6.4 ICMP 协议 


ICMP (Internet Control Message Protocol) 与 卫 协议 同属 于 网 络 层 ， 用 于 传送 有 关 通 信和 问 
题 的 消息 ， 例 如 数据 报 不 能 到 达 目 标 站 ， 路 由 器 没有 足够 的 缓存 空间 ， 或 者 路 由 器 向 发 送 主 机 
提供 最 短 通路 信息 等 。ICMP 报 文 封装 在 卫 数据 报 中 传送 ， 因 而 不 保证 可 靠 的 提交 。ICMP 报 
文 有 11 种 之 多 ， 报 文 格式 如 图 6-20 所 示 。 其 中 的 类 型 字段 表示 ICMP 报 文 的 类 型 代码 字段 
可 表示 报 文 的 少量 参数 ， 当 参数 较 多 时 写 入 32 位 的 参数 字段 ，ICMP 报 文 携带 的 信息 包含 在 可 
变 长 的 信息 字段 中 ， 校 验 和 字段 是 关于 整个 ICMP 报 文 的 校 验 和 。 

[a [ fr 码 | 校 验 和 | 


参数 | 
| 信息 (可 变 长 ) | 


图 6-20 ICMP 报 文 格式 


下 面 简要 解释 ICMP 各 类 报 文 的 含义 。 
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目标 不 可 到 达 (类 型 3): 如 果 路 由 器 判断 出 不 能 把 人 P 数据 报 送 达 目标 主机 ， 则 向 源 
主机 返回 这 种 报 文 。 另 一 种 情况 是 目标 主机 找 不 到 有 关 的 用 户 协议 或 上 层 服务 访问 点 ， 
电 会 返回 这 种 报 文 。 出 现 这 种 情况 的 原因 可 能 是 人 P 头 中 的 字段 不 正确 ; 或 者 是 数据 
报 中 说 明 的 源 路 由 无 效 ， 也 可 能 是 路 由 器 必须 把 数据 报 分 段 ， 但 他 头 中 的 D 标志 已 
置 位 。 

超时 (类 型 11): 路 由 器 发 现 正 数据 报 的 生存 期 已 超时 ,或 者 目标 主机 在 一 定时 间 内 
无 法 完成 重 装配 ， 则 向 源 端 返回 这 种 报 文 。 

源 抑制 (类 型 4): 这 种 报 文 提供 了 一 种 流量 控制 的 初等 方式 。 如 果 路 由 器 或 目标 主 
机 缓冲 资源 耗 尽 而 必须 丢弃 数据 报 , 则 每 丢弃 一 个 数据 报 就 向 源 主机 发 回 一 个 源 抑制 
报 文 ， 这 时 源 主机 必须 减 小 发 送 速 度 。 另 外 一 种 情况 是 系统 的 缓冲 区 已 用 完 ， 并 预感 
到 行将 发 生 拥 塞 ， 则 发 出 源 抑制 报 文 。 但 是 与 前 一 种 情况 不 同 ， 涉 及 的 数据 报 尚 能 提 
交 给 目标 主机 。 

参数 问题 (类 型 12): 如 果 路 由 器 或 主机 判断 出 瑟 头 中 的 字段 或 语义 出 错 ， 则 返回 这 
种 报 文 ， 报 文 头 中 包含 一 个 指向 出 错字 段 的 指针 。 

路 由 重 定向 (类 型 5): 路 由 器 向 直接 相连 的 主机 发 出 这 种 报 文 ， 告 诉 主机 一 个 更 短 
的 路 径 。 例 如 路 由 器 Rl 收 到 本 地 网 络 上 主机 发 来 的 数据 报 ，R1 检查 它 的 路 由 表 ， 发 
现 要 把 数据 报 发 往 网 络 X, 必须 先 转发 给 路 由 器 R2, 而 R2 又 与 源 主机 在 同一 网 络 中 ， 
于 是 R1 向 源 主机 发 出 路 由 重 定向 报 文 ， 把 R2 的 地 址 告诉 它 。 

回声 〈 请 求 /响应 ， 类 型 8/0): 用 于 测试 两 个 节点 之 间 的 通信 线路 是 否 畅通 。 收 到 回 
声 请 求 的 节点 必须 发 出 回声 响应 报 文 。 该 报 文中 的 标识 符 和 序列 号 用 于 匹配 请 求 和 
响应 报 文 。 当 连续 发 出 回声 请 求 时 ， 序 列 号 连续 递增 。 常 用 的 PING 工具 就 是 这 样 工 
作 的 。 

时 间 戳 〈 请 求 /响应 ， 类 型 13/14): 用 于 测试 两 个 节点 之 间 的 通信 延迟 时 间 。 请 求 方 
发 出 本 地 的 发 送 时 间 ， 响 应 方 返回 自己 的 接收 时 间 和 发 送 时 间 。 这 种 应 答 过 程 如 果 结 
合 强 制 路 由 的 数据 报 实 现 ， 则 可 以 测量 出 指定 线路 上 的 通信 延迟 。 

地 址 掩 码 〈 请 求 /响应 ， 类 型 17/18): 主机 可 以 利用 这 种 报 文 获得 它 所 在 的 LAN 的 子 
网 掩 码 。 首 先 主机 广播 地 址 掩 码 请 求 报 文 ， 同 一 LAN 上 的 路 由 器 以 地 址 掩 码 响 应 报 
文 回答 ,告诉 请 求 方 需要 的 子 网 掩 码 。 了 解 子 网 掩 码 可 以 判断 出 数据 报 的 目标 节点 与 
源 节点 是 否 在 同一 LAN 中 。 


6.5 TCP 和 UDP 协议 


在 TCP/IP 协议 簇 中 有 两 个 传输 协议 , 即 传输 控制 协议 (Transmission Control Protocol, TCP) 
和 用 户 数 据 报 协 议 (User Datagram Protocol，UDP)。TCP 是 面向 连接 的 , 而 UDP 是 无 连接 的 。 
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本 节 详 细 讨论 TCP 协议 的 控制 机 制 ， 并 简要 介绍 UDP 协议 的 特点 。 
6.5.1 TCP 服务 


TCP 协议 提供 面向 连接 的 、 可 靠 的 传输 服务 ， 适 用 于 各 种 可 靠 的 或 不 可 靠 的 网 络 。TCP 用 
户 送 来 的 是 字 节 流 形式 的 数据 ， 这 些 数据 缓存 在 TCP 实体 的 发 送 缓 冲 区 中 。 一 般 情 况 下 ，TCP 
实体 自主 地 决定 如 何 把 字 节 流 分 段 , 组 成 TPDU 发 送出 去 。 在 接收 端 ， 也 是 由 TCP 实体 决定 何 
时 把 积累 在 接收 缓冲 区 中 的 字 节 流 提交 给 用 户 。 分 段 的 大 小 和 提交 的 频 度 是 由 具体 的 实现 根据 
性 能 和 开销 权衡 决定 的 ，TCP 规范 中 没有 定义 。 显 然 ， 即 使 两 个 TCP 实体 的 实现 不 同 ， 也 可 以 
互 操作 。 

另外 ，TCP 也 允许 用 户 把 字 节 流 分 成 报 文 ， 用 推进 (PUSH) 命令 指出 报 文 的 界限 。 发 送 
端 TCP 实体 把 PUSH 标志 之 前 的 所 有 未 发 数据 组 成 TPDU 立即 发 送出 去 ， 接 收 端 TCP 实体 同 
样 根据 PUSH 标志 决定 提交 的 界限 。 


6.5.2 TCP 协议 


TCP 只 有 一 种 类 型 的 PDU,， 叫 作 TCP 段 ， 段 头 〈 也 叫 TCP 头 或 传输 头 ) 的 格式 如 图 6-21 
所 示 ， 其 中 的 字段 如 下 。 


一 一 
ele le | 


校 验 和 | spE 针 | 
任 选 项 + 补丁 


用 户 数 据 


图 6-21 TCP 传输 头 格式 


(1) 源 端 口 (16 位 ): 说 明 源 服务 访问 点 。 

(2) 目标 端口 (16 位 ): 表示 目标 服务 访问 点 。 

(3) 发 送 顺序 号 (32 位 ): 本 段 中 第 一 个 数据 字 节 的 顺序 号 。 

(4) 接收 顺序 号 (32 位 ): 捕 带 接收 的 顺序 号 ， 指 明 接 收 方 期 望 接收 的 下 一 个 数据 字 节 的 
顺序 号 

(5) 偏 置 值 (4 位 ): 传输 头 中 32 位 字 的 个 数 。 因 为 传输 头 有 任 选 部 分 ， 长 度 不 固定 ， 所 
以 需要 偏 置 值 。 
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(6) 保留 字段 〈6 位 ): 未 用 ， 所 有 实现 必须 把 这 个 字段 置 全 0。 

(7) 标志 字段 (6 位 ): 表示 各 种 控制 信息 ， 其 中 

。 URG: 紧急 指针 有 效 。 

。 ”ACK: 接收 顺序 号 有 效 。 

。 ”PSH: 推进 功能 有 效 。 

。 ”RST: 连接 复位 为 初始 状态 ， 通 常用 于 连接 故障 后 的 恢复 。 

。 ”SYN: 对 顺序 号 同步 ， 用 于 连接 的 建立 。 

。 FIN: 数据 发 送 完 ， 连 接 可 以 释放 。 

(8) 窗口 〈16 位 ): 为 流 控 分 配 的 信息 量 。 

(9) 校 验 和 “(16 位 ): 段 中 所 有 16 位 字 按 模 2_1 相 加 的 和 ， 然 后 取 1 的 补 码 。 

(10) 紧急 指针 (16 位 ): 从 发 送 顺 序号 开始 的 偏 置 值 ， 指 向 字 节 流 中 的 一 个 位 置 ， 此 位 置 
之 前 的 数据 是 紧急 数据 。 

(11) 任 选项 〈 长 度 可 变 ): 目前 只 有 一 个 任 选项 ， 即 建立 连接 时 指定 的 最 大 段 长 。 

(12) 补丁 : 补 齐 32 位 字 边 界 。 

下 面 对 某 些 字 段 做 进一步 的 解释 。 端 口 编 号 用 于 标识 TCP 用 户 ， 即 上 层 协议 ， 一 些 经 常 
使 用 的 上 层 协 议 ， 例 如 Telnet 〈 远 程 终端 协 议 )、FTP (文件 传输 协议 ) 或 SMTP 简单 邮件 传 
输 协 议 ) 等 都 有 固定 的 端口 号 ， 这 些 公 用 端口 号 可 以 在 RFC (Request For Comment) 中 查 到 ， 
任何 实现 都 应 该 按 规定 保留 这 些 公 用 端口 编号 ， 除 此 之 外 的 其 他 端口 编号 由 具体 实现 分 配 。 

前 面 提 到 ，TCP 是 对 字 节 流 进 行 传送 ， 因 而 发 送 顺 序号 和 接收 顺序 号 都 是 指 字 节 流 中 的 某 
个 字 节 的 顺序 号 ， 而 不 是 指 整个 段 的 顺序 号 。 例 如 ， 某 个 段 的 发 送 顺序 号 为 1000， 其 中 包含 
500 个 数据 字 节 ， 则 段 中 第 一 个 字 节 的 顺序 号 为 1000， 按 照 罗 辑 顺 序 ， 下 一 个 段 必然 从 第 1500 
个 数据 字 节 处 开始 ， 其 发 送 顺 序号 应 为 1500。 为 了 提高 带宽 的 利用 率 ，TCP 采用 积累 接收 的 机 
制 ,。 例如 从 A 到 B 传送 了 4 个 段 , 每 段 包含 20 个 字 节 数据 , 这 4 个 段 的 接收 顺序 号 分 别 为 30、 
50、70 和 90。 在 第 4 次 传送 结束 后 ，B 向 A 发 回 一 个 ACK 标志 置 位 的 段 ， 其 中 的 接收 顺序 号 
为 110〈 即 90+20)， 一 次 接收 了 4 次 发 送 的 所 有 字 节 ， 表 示 从 起 始 字 节 到 109 字 节 都 已 正确 
接收 。 

同步 标志 SYN 用 于 连接 建立 阶段 。TCP 用 三 次 握手 过 程 建立 连接 ， 首 先是 发 起 方 发 送 一 
个 SYN 标志 置 位 的 段 ， 其 中 的 发 送 顺序 号 为 某 个 值 互 称 为 初始 顺序 号 ISN (Initial Sequence 
Number)， 接 收 方 以 SYN 和 ACK 标志 置 位 的 段 响应 ， 其 中 的 接收 顺序 号 应 为 +1 (表示 期 望 
从 第 +t1 个 字 节 处 开始 接收 数据 )， 发 送 顺序 号 为 某 个 值 了 (接收 端 指定 的 ISN)。 这 个 段 到 达 
发 起 端 后 ， 发 起 端 以 ACK 标志 置 位 ， 应 答 顺序 号 为 Y+1 的 段 回 答 ， 连 接 就 正式 建立 了 。 可 见 ， 


第 6 章 网 络 互 连 与 互联 网 “ 呈 27 莉 


所 谓 初 始 顺序 号 就 是 收发 双方 对 连接 的 标识 ， 也 与 字 节 流 的 位 置 有 关 。 因 而 对 发 送 顺序 号 更 准 
确 的 解释 应 该 是 : 当 SYN 未 置 位 时 ， 表 示 本 段 中 第 一 个 数据 字 节 的 顺序 号 ， 当 SYN 置 位 时 ， 
它 是 初始 顺序 号 ISN， 而 段 中 第 一 个 数据 字 节 的 顺序 号 应 为 SN+1， 正 好 与 接收 方 期 望 接收 的 
数据 字 节 的 位 置 对 应 ， 如 图 6-22 所 示 。 
A B 说 明 
SYN=1 ~ 六 请 
发 5X ~ SyN-l， ACk-1 人 和 


一 一 发 号 Y 收 号 X+1 
DATA ACK 一 一 A 应 答 并 发 送 数据 


发 号 Xt1 收 号 Y+1 一 一、 


图 6-22 ”TCP 连接 的 建立 


所 谓 紧急 数据 ， 是 指 TCP 用 户 认为 很 重要 的 数据 ， 例 如 键盘 中 断 等 控制 信号 。 当 TCP 段 
中 的 URG 标志 置 位 时 ， 紧 急 指 针 表 示 距 离 发 送 顺序 号 的 偏 置 值 ， 在 这 个 字 节 之 前 的 数据 都 是 
紧急 数据 。 紧 急 数 据 由 上 层 用 户 使 用 ，TCP 只 是 尽快 地 把 它 提交 给 上 层 协 议 。 

窗口 字段 表示 从 应 答 顺 序号 开始 的 数据 字 节 数 ， 即 接收 端 期 望 接收 的 字 节 数 ， 发 送 端 根据 
这 个 数字 扩大 自己 的 窗口 。 窗 口 字 段 、 发 送 顺 序号 和 应 答 顺 序号 共同 实现 滑动 窗口 协议 。 

校 验 和 的 校 验 范围 包括 整个 TCP 段 和 伪 段 涉 〈Pseudo-header)。 伪 段 头 是 瑟 头 的 一 部 分 ， 
如 图 6-23 所 示 。 伪 段 头 和 TCP 段 一 起 处 理 有 一 个 好 处 ， 如 果 四 把 TCP 段 提交 给 错误 的 主机 ， 
TCP 实体 可 根据 伪 段 头 中 的 源 地 址 和 目标 地 址 字段 检查 出 错误 。 


图 6-23 ”TCP 检查 和 的 范围 


由 于 TCP 是 和 了 P 配 合 工作 的 ， 所 以 有 些 用 户 参 数 由 TCP 直接 传送 给 人 P 层 处 理 ， 这 些 参 
数 包含 在 中 头 中 ， 例 如 优先 级 、 延 迟 时 间 、 春 吐 率 、 可 靠 性 和 安全 级 别 等 。TCP 头 和 下 头 合 
在 一 起 ， 代 表 了 传送 一 个 数据 单元 的 开销 ， 共 40 个 字 节 。 

图 6-24 所 示 为 TCP 的 连接 状态 图 。 事实 上 ， 在 TCP 协议 的 运行 过 程 中 ， 有 多 个 连接 处 于 
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不 同 的 状态 。 
Active Open 初始化 SV Passive Open 初始 化 SV 
CLOSED 
发 送 BYN 
Close Close 
清除 SV 清除 SV 


SYN SENT 收 到 SYN SYN RECEIVD 收 到 SYN LISTEN 
发 送 ACK 发 送 SYNACK 


收 到 ACK 


收 到 SYN ACK 
发 送 ACK 


ESTABLISHED 


CLOSEWAIT 
Close 
收 到 FIN ACK 发 送 FIN 
时 
FN WAIT2 CLOSING LAST ACK 
收 到 ACK 收 到 ACK 
收 到 FIN TIME WAIT | Timeout .| CLOSED 


发 送 ACK 1 2MSL 


图 6-24 TCP 连接 状态 图 


6.5.3 TCP 拥塞 控制 


TCP 的 拥塞 控制 涉及 重 传 计时 器 管理 和 窗口 管理 ， 其 目的 是 与 流 控 机 制 配合 ， 缓 解 互联 网 
中 的 通信 紧张 状况 。 
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1， 重 传 计时 器 管理 


TCP 实体 管理 着 多 种 定时 器 〈 重 传 定时 器 、 放 弃 定 时 器 等 )， 用 于 确定 网 络 传输 时 延 和 监 
视 网 络 拥塞 情况 。 定 时 器 的 时 间 界 限 涉 及 网 络 的 端 到 端 往返 时 延 ， 静 态 计 时 方式 不 能 适应 网 络 
通信 瞬息 万 变 的 情况 ， 所 以 大 多 数 实现 都 是 通过 观察 最 近 一 段 时 间 的 报 文 时 延 来 估算 当前 的 往 
返 时 间 。 一 种 方法 是 取 最 近 一 段 时 间 报 文 时 延 的 算术 平均 值 来 预测 未 来 的 往返 时 间 ， 其 计算 方 
法 如 下 : 

天 
ARTT(K +1)= RTARITK) + RErRITK +1) 

其 中 的 RTT() 表 示 对 第 天 个 报 文 所 观察 到 的 往返 时 间 ，ARTTCRS) 是 对 前 天 个 报 文 所 计算 
的 平均 往返 时 间 。 利 用 这 个 公式 ， 不 必 每 次 重新 求 和 就 可 以 得 到 最 新 的 平均 往返 时 间 。 

简单 的 算术 平均 方法 不 能 迅速 反映 网 络 通信 情 况 变化 的 趋势 ， 改 进 的 方法 是 对 越 是 最 近 的 
观察 值 赋予 越 大 的 权 值 ， 使 其 对 平均 值 的 贡献 越 大 ， 这 种 方法 称 为 指数 平均 法 ， 可 以 用 下 面 的 
公式 表示 : 

SRTT(K +1)=a XSRTT(K)+(1 -a)XRIT(K+1) 

其 中 SRTT(&) 被 称 为 平滑 往返 时 间 估 值 ，SRTT(0)=0,，0<a<1。 

把 上 式 展开 ， 得 到 


SRTT(K+1)=(1—o)RIT(K+1)+a( -oRIT(K) + oa (oRIT(K-D+...+at( -aRTTO) 


可 以 看 出 ， 越 是 早 前 的 观察 值 ， 对 平均 值 的 贡献 越 小 (a 的 指数 越 大 )。 若 a=0.5， 几 乎 所 
有 权重 都 给 了 最 近 的 4 或 5 个 观察 值 ， 当 a=0.875 时 , 计算 就 扩大 到 最 近 的 10 个 或 更 多 个 观察 
值 。 所 得 的 结论 是 : 使 用 的 c 值 越 小 ， 则 计算 出 的 平均 值 对 最 近 的 网 络 通信 量变 化 越 敏感 ， 这 
样 做 的 缺点 是 短期 的 通信 量变 化 可 能 影响 到 平滑 往返 时 间 估 值 的 过 度 震荡 。 在 具体 实现 时 要 根 
据 网 络 通信 的 特点 采用 一 个 合适 的 wx 值 。 

重 传 计时 器 的 值 RTO 应 该 设置 得 比 SRTT 稍 大 ， 一 种 方法 是 增加 一 个 常数 值 A : 

RTO(K +1) =SRTIT(K+D+A 

A 的 值 取 多 大 ， 需 要 仔细 其 酌 。 如 果 A 的 值 取 大 了 ， 对 重 传 过 程 会 造成 不 必要 的 延迟 ， 如 
果 A 的 值 取 小 了 ， 则 观察 到 的 往返 时 间 RIT 的 微小 波动 就 会 造成 不 必要 的 重 传 。 

相对 于 增加 一 个 固定 常数 的 方法 ， 使 用 一 个 与 SRTT 成 比例 的 计时 器 效果 更 好 一 些 : 
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RTOCKE+D = MIN (UBOUND, MAX (LBOUND. BXSRTT(K+1))) 


其 中 ，UBOUND 和 LBOUND 是 两 个 选 定 的 计时 上 限 和 下 限 值 ，/ 是 常数 。 上 式 的 意思 是 选取 
的 重 传 计 时 值 与 平滑 往返 时 间 估 值 SRIT 成 比例 ,但 其 值 应 该 处 于 选 定 的 上 、 下 限 之 间 。RFC 793 
给 出 的 例子 是 ，a 在 0.8~0.9 之 间 ，pB 在 1.3 一 2.0 之 间 。 


2. 慢 启动 和 拥塞 控制 


TCP 实体 使 用 的 发 送 窗口 越 大 ， 在 得 到 确认 之 前 发 送 的 报 文 数 就 越 多 ， 这 样 就 可 能 造成 网 
络 的 拥塞 ， 特 别 在 TCP 刚 连 接 建 立 发 送 时 对 网 络 通信 的 影响 更 大 。 可 以 采用 的 一 种 策略 是 ， 让 
发 送 方 实体 在 接收 到 确认 之 前 逐步 扩展 窗口 的 大 小 ， 而 不 是 从 一 开始 就 采用 很 大 的 窗口 ， 这 种 
方法 称 为 慢 启 动 过 程 。 下面 的 慢 启动 过 程 是 以 报 文 数 来 描述 的 , 报 文 数 等 于 TCP 段 头 中 窗口 字 
段 的 值 除 以 报 文 段 的 字 节 数 。 

慢 启 动 过 程 规定 ，TCP 实体 发 送 窗 口 的 大 小 按照 下 式 计算 : 

awnd = MIN [credit, cwnd| 


。 ”awnd: 允许 窗口 的 大 小 ，TCP 实体 在 没有 收 到 进一步 确认 的 情况 下 可 以 发 送 的 报 
文 数 。 

。 ”cwnd: 拥塞 窗口 的 大 小 , 在 启动 阶段 或 拥塞 期 间 TCP 实体 使 用 的 窗口 大 小 ( 报 文 数 )。 

。 credit: 最 近 一 次 确认 报 文中 得 到 的 信息 量 ， 以 报 文 数 计量 。 

在 建立 一 个 新 连接 后 , TCP 实体 初始 化 (cwnd=1), 即 在 发 送 了 第 一 个 报 文 段 后 就 停止 发 送 ， 
等 待 确 认 后 再 发 送 下 一 个 报 文 段 ， 并 且 每 收 到 一 个 确认 ， 就 把 cwnd 加 1， 用 于 扩大 发 送 窗 口 。 
最 终 的 发 送 窗 口 大 小 是 由 收 到 的 credit 决定 的 。 

实际 上 ，cwnd 是 以 指数 规律 增长 的 。 当 第 0 个 报 文 段 的 确认 到 达 后 ，cwnd 被 增加 到 2， 
可 以 发 送 第 1 和 第 2 段 ; 当 第 1 和 第 2 个 报 文 段 的 确认 到 达 后 ，cwnd 经 过 两 次 增加 ， 其 值 已 经 
是 4 了 ; 当 这 4 个 报 文 段 都 达到 后 ，cwnd 经 过 4 次 增加 ， 其 值 就 是 8 了 。 

当 网 络 开始 出 现 拥塞 时 ， 上 述 技术 是 否 有 用 呢 ? 事实 上 ,“ 让 网 络 进 入 饱和 状态 很 容易 ， 
而 让 网 络 从 拥塞 中 恢复 却 很 难 ”(Jacobson 语 )， 这 就 是 所 谓 的 高 峰 期 的 长 尾 效应 。 所 以 还 得 补 
充 下 列 规则 : 

(1) 设置 慢 启动 的 门限 值 为 目前 拥塞 窗口 的 一 半 ， 即 ssthresh = cwnd/2 。 

(2) 置 cwnd =1， 并 且 执 行 慢 启动 过 程 ， 直 到 cwnd = ssthresh 。 

(3) 当 cwnd > ssthresh 时 ， 每 经 过 一 个 往返 时 间 cwnd 加 1。 

图 6-25 描绘 了 这 种 行为 的 效果 。 
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图 6-25 ”TCP 拥塞 控制 


6.5.4 UDP 协议 
UDP 也 是 常用 的 传输 层 协议 , 它 对 应 用 层 提供 无 连接 的 传输 服务 , 虽然 这 种 服务 是 不 可 靠 
的 、 不 保证 顺序 的 提交 ， 但 这 并 没有 减少 它 的 使 用 价值 。 相 反 ， 由 于 协议 开销 少 而 在 很 多 场合 
相当 实用 ， 特 别 是 在 网 络 管理 方面 ， 大 多 使 用 UDP 协议 。 
UDP 运行 在 他 协议 层 之 上 ， 由 于 它 不 提供 连接 ， 所 以 只 是 16 位 16 位 
在 四 协议 之 上 加 上 端口 寻 址 功能 ， 这 个 功能 表现 在 UDP 头 上 ， | | 


如 图 6-26 所 示 。 


UDP 头 包 含 源 端 口号 和 目标 端口 号 。 段 长 指 整个 UDP 段 的 
图 6-26 UDP 头 


长 度 ， 包 括 头 部 和 数据 部 分 。 校 验 和 与 TCP 相同 ， 但 是 任 选 的 ， 
如 果 不 使 用 校 验 和 , 则 这 个 字段 置 0。 由 于 了 正 的 校 验 和 只 作用 于 
卫 头 ， 并 不 包括 数据 部 分 ， 所 以 当 UDP 的 校 验 和 字段 为 0 时 ， 实 际 上 对 用 户 数据 不 进行 校 验 。 


6.6 域名 和 地 址 


Internet 地 址 分 为 3 级 ， 可 表示 为 “网 络 地 址 -主机 地 址 -端口 地 址 ”的 形式 。 其 中 ， 网 络 和 
主机 地 址 即 中 地址; 端口 地 址 就 是 TCP 或 UDP 地 址 , 用 于 表示 上 层 进 程 的 服务 访问 点 。TCP/IP 
网 络 中 的 大 多 数 公共 应 用 进程 都 有 专用 的 端口 号 ， 这 些 端 口号 是 由 IANA (Internet Assigned 
Numbers Authority) 指定 的 ， 其 值 小 于 1024， 而 用 户 进程 的 端口 号 一 般 大 于 1024。 表 6-3 中 列 
出 了 主要 的 专用 端口 号 ， 许 多 网 络 操作 系统 保护 这 些 端口 号 ， 限 制 用 户 进程 使 用 。 


国医 


国医 
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表 6-3 固定 分 配 的 专用 端口 号 


山口 号 描 述 描 述 

和 TCP Port Service Multiplexer (TCPMUX) SQL Services 

5 Remote Job Entry (RJE)， 远 程 作业 Newsgroup (NNTP) 

7 ECHO， 回 声 NetBIOS Name Service 

话 Mepe Send Protocol (MSP)， 报 文 发 送 NetBiOS Ditagran Seivice 

协议 

20 |FTP-Data， 文 件 传输 协议 Interim Mail Access Protocol (IMAP) 

21 ”|FTP-Control， 文 件 传输 协议 150 |NetBIOS Session Service 

22 |SSH Remote Login Protocol， 远 程 登 录 156 |SQL Server 

23 ”| Telnet， 远 程 登录 161 |SNMP， 简 单 网 络 管 理 协议 

25 |Simple Mail Transfer Protocol (SMTP) He Gatewiay ProtpeoltBGPY; 边界 网 关 
29 |MSGICP | 190 | Gateway Access Control Protocol (GACP) 
37 |Time 194 |Internet Relay Chat (IRC) 

二 J Name Server (Nameserv)， 主 机 名 字 Bicolnny octinn donce CDLSY 

Lightweight Directory Access Protocol 

43 |Whols 389 |， 和 A 
49 |Login Host Protocol (Login) 396 |Novell Netware over IP 

53 “|Domain Name System (DNS)， 域 名 系统 HTTPS 
69 |Trivial File Transfer Protocol (TFTP) Simple Network Paging Protocol (SNPP) 
70 |Gopher Services 445 |Microsoft-DS 

79 |Finger 458 |Apple QuickTime 

80 ”|HTTP 超 文本 传输 协议 DHCP Client， 动态 主机 配置 协议 ， 客 户 端 
103 | x400 standard， 电 子 邮 件 标准 DHCP Server, 动态 主机 配置 协议 ， 服 务 

器 端 

108 |SNA Gateway Access Server SNEWS 
109 |POP2 MSN 
110 |POP3 Socks 
115 |Simple File Transfer Protocol (SFTP) | | 
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6.6.1 域名 系统 


网 络 用 户 希望 用 名 字 来 标识 主机 ， 有 意义 的 名 字 可 以 表示 主机 的 账号 、 工 作 性 质 、 所 属 的 
地 域 或 组 织 等 ， 从 而 便于 记忆 和 使 用 。Internet 的 域名 系统 (Domain Name System，DNS) 就 是 
为 这 种 需要 而 开发 的 。 

DNS 的 逻辑 结构 是 一 个 分 层 的 域名 树 , Intemet 网 络 信息 中 心 (Interet Network Information 
Center，InterNIC) 管理 着 域名 树 的 根 ， 称 为 根 域 。 根 域 没有 名 称 ， 用 句号 “.” 表 示 ， 这 是 域 
名 空间 的 最 高 级 别 。 在 DNS 的 名 称 中 ， 有 时 在 末尾 附加 一 个 “.”， 就 是 表示 根 域 ， 但 经 常 是 省 
略 的 。DNS 服 务 器 可 以 自动 补 上 结尾 的 句号 ， 也 可 以 处 理 结尾 带 句号 的 域名 。 

根 域 下 面 是 项 级 域 (Top-Level Domains，TLD )， 分 为 国家 顶级 域 (country code Top Level 
Domain，ccTLD) 和 通用 顶级 域 (generic Top Level Domain，gTLD)。 国 家 顶级 域名 包含 243 
个 国家 和 地 区 代码 ， 例 如 cn 代表 中 国 ，uk 代表 英国 等 。 最 初 的 通用 项 级 域 有 7 个 〈 如 表 6-4 
所 示 )， 这 些 顶 级 域名 原来 主要 供 美国 使 用 ， 随 着 Internet 的 发 展 ，com、org 和 net 成 为 全 世界 
通用 的 顶级 域名 ， 就 是 所 谓 的 “国际 域名 ”， 而 edu、gov 和 mil 限于 美国 使 用 。 


表 6-4 通用 项 级 域名 


域 名 使 用 对 象 
com 商业 机 构 等 盘 利 性 组 织 
edu 教育 机 构 、 学 术 组 织 和 国家 科研 中 心 等 
gov 美国 非 军 事 性 的 政府 机 关 
mil 美国 的 军事 组 织 
net 网 络 信息 中 心 (NIC) 和 网 络 操作 中 心 (BIC) 等 
org 非 盈 利 性 组 织 、 例 如 技术 支持 小 组 、 计 算 机 用 户 小 组 等 
int 国际 组 织 


负责 因特网 域名 注册 的 服务 商 (Internet Corporation for Assigned Names and Numbers， 
ICANN) 在 2000 年 11 月 决定 ， 从 2001 年 开始 使 用 新 的 国际 项 级 域名 ， 共 有 7 个 ， 即 biz 商 
业 机 构 )、info〈 网 络 公 司 )、name (个 人 网 站 )、pro〔 医 生 和 律师 等 职业 人 员 )、aero〔 航 空运 
输 业 专用 )、coop〔 商 业 合 作 社 专用 ) 和 museum (博物 馆 专用 )， 其 中 ， 前 4 个 是 非 限制 性 域 
名 ， 后 3 个 限于 专门 的 行业 使 用 ， 受 有 关 行业 组 织 的 管理 。 

2008 年 6 月 , ICANN 在 巴黎 年 会 上 通过 了 个 性 化 域名 方案 , 最 早 将 于 2009 年 开始 出 现 以 
公司 名 字 为 结尾 的 域名 ， 例 如 ibm、hp 和 qq 等 。 可 以 认为 ， 这 些 域名 的 所 有 者 在 某 种 意义 上 
就 是 一 个 域名 注册 机 构 ， 以 后 将 会 有 无 穷 多 的 国际 域名 。 

顶级 域 下 面 是 二 级 域 ， 这 是 正式 注册 给 组 织 和 个 人 的 唯一 名 称 ， 例 如 www.microsoft.com 
中 的 microsoft 就 是 微软 注册 的 域名 。 
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在 二 级 域 之 下 , 组 织 机 构 还 可 以 划分 子 域 , 使 其 各 个 分 支部 门 都 获得 一 个 专用 的 名 称 标识 ， 
例如 www-sales microsoftcom 中 的 sales 是 微软 销售 部 门 的 子 域名 称 。 划 分子 域 的 工作 可 以 一 直 
延续 下 去 ， 直 到 满足 组 织 机 构 的 管理 需要 为 止 。 但 是 标准 规定 ， 一 个 域名 的 长 度 通常 不 超过 63 
个 字符 ， 最 多 不 能 超过 255 个 字符 。 

DNS 命名 标准 还 规定 , 域名 中 只 能 使 用 ASCII 字符 集 的 有 限 子 集 , 包括 26 个 英文 字母 (不 
区 分 大 小 写 ) 和 10 个 数字 ， 以 及 连 字 符 “-”， 并 且 连 字符 不 能 作为 子 域名 的 第 一 个 和 最 后 一 个 
字母 。 后 来 的 标准 对 字符 集 有 所 扩大 。 

各 个 子 域 由 地 区 NIC 管理 。 图 6-27 是 CNNIC 规划 的 cn 下 第 二 级 子 域名 和 域名 树 系统 。 
其 中 ，ac 为 中 科 院 系统 的 机 构 ，edu 为 教育 系统 的 院 校 和 科研 单位 ，go 为 政府 机 关 ，co 为 商业 
机 构 ，or 为 民间 组 织 和 协会 ，bj 为 北京 地 区 ，sh 为 上 海地 区 ，#j 为 浙江 地 区 等 。 

第 一 级 域名 cn 


图 6-27 在 cn 域名 下 的 域名 树 


域名 到 下 地址 的 变换 由 DNS 服务 器 实现 。 一 般 子 网 中 都 有 一 个 域名 服务 器 ， 该 服务 器 管 
理 本 地 子 网 所 连接 的 主机 ， 也 为 外 来 的 访问 提供 DNS 服务 。 这 种 服务 采用 典型 的 客户 端 /服务 
器 访问 方式 : 客户 端 程序 把 主机 域名 发 送 给 服务 器 ， 服务 器 返回 对 应 的 下 地址。 有 时 被 询问 的 
服务 器 不 包含 查询 的 主机 记录 ， 根 据 DNS 协议 ， 服 务 器 会 提供 进一步 查询 的 信息 ， 也 许 是 包 
括 相 近 信息 的 另外 一 台 DNS 服务 器 的 地 址 。 

特别 需要 指出 的 是 ,域名 与 网 络 地 址 是 两 个 不 同 的 概念 。 虽然 大 多 数 连 网 的 主机 不 仅 有 一 
个 唯一 的 网 络 地 址 ， 还 有 一 个 域名 ， 但 是 有 的 主机 没有 网 络 地 址 ， 只 有 域名 。 这 种 机 器 用 电话 
线 连接 到 一 个 有 下 地 址 的 主机 上 ， 通 过 拨号 方式 访问 P 主机 ， 只 能 发 送 和 接收 电子 邮件 。 另 
一 方面 ， 高 级 的 域名 可 能 包括 几 个 网 络 ， 但 域名 树 的 结构 不 一 定 与 网 络 结构 对 应 。 还 有 一 种 情 
况 是 同一 个 子 网 中 的 主机 可 能 属于 不 同 的 子 域 ， 虽 然 这 种 情况 对 于 C 类 网 络 很 少见 。 


6.6.2 ”地 址 分 解 协议 
IP 地 址 是 分 配给 主机 的 逻辑 地 址 ， 在 因特网 络 中 表示 唯一 的 主机 。 似 乎 有 了 卫 地 址 就 可 
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以 方便 地 访问 某 个 子 网 中 的 某 个 主机 ， 寻 址 问题 就 解决 了 。 其 实 不 然 ， 还 必须 考虑 主机 的 物理 
地 址 问题 。 

由 于 互 连 的 各 个 子 网 可 能 源 于 不 同 的 组 织 ， 运 行 不 同 的 协议 〈 蜡 构 性 )， 因 而 可 能 采用 不 
同 的 编 址 方法 。 任 何 子 网 中 的 主机 至 少 都 有 一 个 在 子 网 内 部 唯一 的 地 址 ， 这 种 地 址 都 是 在 子 网 
建立 时 一 次 性 指定 的 ， 甚 至 可 能 是 与 网 络 硬件 相关 的 ， 把 这 个 地 址 叫 作 主机 的 物理 地 址 或 硬件 
地 址 。 

物理 地 址 和 人 风 辑 地 址 的 区 别 可 以 从 两 个 角度 看 : 从 网 络 互 连 的 角度 看 ， 逻 辑 地 址 在 整个 因 
特 网 络 中 有 效 , 而 物理 地 址 只 是 在 子 网 内 部 有 效 ; 从 网 络 协议 分 层 的 角度 看 , 逻辑 地 址 由 Intemet 
层 使 用 ， 而 物理 地 址 由 子 网 访问 子 层 〈 具 体 地 说 就 是 数据 链 路 层 ) 使 用 。 

由 于 有 两 种 主机 地 址 ， 因 此 需要 一 种 映像 关系 把 这 两 种 地 址 对 应 起 来 。 在 Intemet 中 是 用 
地 址 分 解 协议 ‘Address Resolution Protocol，ARP) 来 实现 逻辑 地 址 到 物理 地 址 映像 的 。ARP 
分 组 的 格式 如 图 6-28 所 示 ， 各 字段 的 含义 解释 如 下 。 


切 议 关 型 


目标 节点 硬件 地 址 
目标 节点 协议 地 址 


图 6-28 ARP/RARP 分 组 格式 


。 硬件 类 型 : 网络 接 口 硬件 的 类 型 ， 对 以 太 网 此 值 为 1。 
。 ”协议 类 型 :发 送 方 使 用 的 协议 ，0800H 表示 下 协议 。 
。 硬件 地 址 长 度 : 对 以 太 网 ， 地 址 长 度 为 6 字 节 。 

。 ”协议 地 址 长 度 : 对 下 协议 ， 地 址 长 度 为 4 字 节 。 


。 “操作: 
> 1 一 一 ARP 请 求 。 
> 2 一 一 ARP 响应 。 
> 3 一 -RARP 请 求 。 
六 4- RARP 响应 。 


通常 ，Intemet 应 用 程序 把 要 发 送 的 报 文 交 给 下， 了 正 协议 当然 知道 接收 方 的 逻辑 地 址 〈 否 
则 就 不 能 通信 了 )， 但 不 一 定 知道 接收 方 的 物理 地 址 。 在 把 他 分 组 向 下 传送 给 本 地 数据 链 路 实 
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体 之 前 ， 可 以 用 两 种 方法 得 到 目标 物理 地 址 。 
(1) 查 本 地 内 存 的 ARP 地 址 映像 表 ， 通 常 ARP 地 址 映像 表 的 逻辑 结构 如 表 6-5 所 示 。 可 
以 看 出 这 是 中 地址 和 以 太 网 地 址 的 对 照 表 。 


表 6-5 ARP 地 址 映像 表 的 例子 


JP 地址 以 太 网 地 址 
130.130.87.1 08 00 39 00 29 D4 
129.129.52.3 08 00 5A 21 17 22 
192.192.30.5 08 00 1099 Al 44 


(2) 如 果 ARP 表 查 不 到 , 就 广播 一 个 ARP 请 求 分 组 , 这 种 分 组 可 经 过 路 由 器 进一步 转发 ， 
到 达 所 有 连 网 的 主机 。 它 的 含义 是 :“ 如 果 你 的 人 P 地 址 是 这 个 分 组 的 目标 地 址 ， 请 回答 你 的 物 
理 地 址 是 什么 。” 收 到 该 分 组 的 主机 一 方面 可 以 用 分 组 中 的 两 个 源 地 址 更 新 自己 的 ARP 地 址 映 
像 表 ， 另 一 方面 用 自己 的 正 地 址 与 目标 卫 地 址 字段 比较 ， 若 相符 则 发 回 一 个 ARP 响应 分 组 ， 
向 发 送 方 报告 自己 的 硬件 地 址 ; 若 不 相符 ， 则 不 予 回答 。 

所 谓 代理 ARP (Proxy ARP)， 就 是 路 由 器 “假装 ”目标 主机 来 回答 ARP 请 求 ， 所 以 源 主 
机 必须 先 把 数据 帧 发 给 路 由 器 ， 再 由 路 由 器 转发 给 目标 主机 。 这 种 技术 不 需要 配置 默认 网 关 ， 
也 不 需要 配置 路 由 信息 ， 就 可 以 实现 子 网 之 间 的 通信 。 

用 于 说 明代 理 ARP 的 例子 如 图 6-29 所 示 ， 设 子 网 A 上 的 主机 A (172.16.10.100) 需要 与 
子 网 B 上 的 主机 D (172.16.20.200) 通信 。 图 中 的 主机 A 有 一 个 16 位 的 子 网 掩 码 ， 这 意味 着 
主机 A 认为 它 直接 连接 到 网 络 172.16.0.0。 当 主机 A 需要 与 它 直接 连接 的 设备 通信 时 , 它 就 向 目标 
发 送 一 个 ARP 请 求 。 当 主机 A 需要 主机 D 的 MAC 地 址 时 ， 它 在 子 网 A 上 广播 的 ARP 请 求 分 组 
如 下 。 


发 送 者 的 MAC 地 址 发 送 者 的 IP 地 址 目标 的 MAC 地 址 目标 的 IP 地 址 
00-00-0c-94-36-aa 00-00-00-00-00-00 172.16.20.200 
这 个 请 求 的 含义 是 要 求 主机 D (172.16.20.200) 回答 它 的 MAC 地 址 。ARP 请 求 分 组 被 包 
装 在 以 太 帧 中 ， 其 源 地 址 是 A 的 MAC 地 址 ， 而 目标 地 址 是 广播 地 址 (FFFFFFFFFFFF)。 由 
于 路 由 器 不 转发 广播 帧 ， 所 以 这 个 ARP 请 求 只 能 在 子 网 A 中 传播 ， 到 不 了 主机 D。 如 果 路 由 
器 知道 目标 地 址 (172.16.20.200) 在 另外 一 个 子 网 中 ， 它 就 以 自己 的 MAC 地 址 回答 主机 A， 
路 由 器 发 送 的 应 答 分 组 如 下 。 


发 送 者 的 MAC 地 址 发 送 者 的 IJP 地 址 目标 的 MAC 地 址 目标 的 卫 地 址 
00-00-0c-94-36-ab 172.16.20.200 00-00-0c-94-36-aa 172.16.10.100 
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A B 
此 三 
172.16.10.100/16 172.16.10.200/24 
00-00-0c-94-36-aa 00-00-0c-94-36-bb 
e0 172.16.10.99/24 子 网 A 


00-00-0c-94-36-ab 


路 由 器 | el 172.16.20.99/24 本 
00-00-0c-94-36-cd 于 网 B 
172.16.20.100/24 172.16.20.200/24 
00-00-00-94-36-ce 蕊 ”” 
C D 


图 6-29 代理 ARP 的 例子 


这 个 应 答 分 组 封装 在 以 太 帧 中 ， 以 路 由 器 的 MAC 地 址 为 源 地 址 ， 以 主机 A 的 MAC 地 址 
为 目标 地 址 ，ARP 应 答 帧 是 单 播 传送 的 。 在 接收 到 ARP 应 答 后 ， 主 机 A 就 更 新 它 的 ARP 表 。 


IP 地 址 MAC 地 址 
172.16.20.200 | 00-00-0c-94-36-ab 


从 此 以 后 , 主机 A 就 把 所 有 给 主机 D(172.16.20.200) 的 分 组 发 送 给 MAC 地 址 为 00-00-0c- 
94-36-ab 的 主机 ， 这 就 是 路 由 器 的 网 卡 地 址 。 

通过 这 种 方式 , 子 网 A 中 的 ARP 映像 表 都 把 路 由 器 的 MAC 地址 当 作 子 网 B 中 主机 的 MAC 
地 址 。 例 如 ， 主 机 A 的 ARP 映像 表 如 下 。 


IP 地 址 
172.16.20.200 
172.16.20.100 
172.16.10.99 
172.16.10.200 


MAC 地 址 
00-00-0c-94-36-ab 
00-00-0c-94-36-ab 
00-00-0c-94-36-ab 
00-00-0c-94-36-bb 


多 个 中 地 址 被 映像 到 一 个 MAC 地 址 这 一 事实 正 是 代理 ARP 的 标志 。 

RARP (Reverse Address Resolution Protocol) 是 反 向 ARP 协议 ， 即 由 硬件 地 址 查找 逻辑 地 
址 。 通常 , 主机 的 下 地 址 保存 在 硬盘 上 , 机 器 关 电 时 也 不 会 丢失 , 系统 启动 时 自动 读 入 内 存 中 。 
但 是 , 无 盘 工 作 站 无 法 保存 下 地址 , 它 的 下 地 址 由 RARP 服务 器 保存 。 当 无 盘 工 作 站 启动 时 ， 
广播 一 很 ARP 请 求 分 组 ,把 自己 的 硬件 地 址 同时 写 入 发 送 方 和 接收 方 的 硬件 地 址 字段 中 .RARP 
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服务 器 接收 这 个 请 求 ， 并 填写 目标 人 P 地 址 字段 ， 把 操作 字段 改 为 RARP 响应 分 组 ， 送 回 请 求 
的 主机 。 


6.7 网关 协 议 


Intemet 中 的 路 由 器 叫 作 下 网关。 网 关 执 行 复杂 的 路 由 算法 , 需要 大 量 且 及 时 的 路 由 信息 。 
网 关 协 议 就 是 用 于 网 关 之 间 交换 路 由 信息 的 协议 。 


6.7.1 自治 系统 


自治 系统 是 由 同 构 型 的 网 关连 接 的 因特网 ， 这 样 的 系统 往往 是 由 一 个 网 络 管理 中 心 控制 
的 。 自 治 系统 内 部 的 网 关 之 间 执行 内 部 网 关 协 议 (Interior Gateway Protocol，IGP)， 互 相交 换 
路 由 信息 。 一 般 来 说 ，IGP 是 自治 系统 内 部 专用 的 ， 为 特定 的 应 用 服务 ， 在 自治 系统 之 外 是 无 
效 的 。 

一 个 因特网 也 可 能 由 不 同 的 自治 系统 互 连 而 成 , 例如 若干 个 校园 网 通过 广域网 互 连 就 是 这 
种 情况 ， 如 图 6-30 所 示 。 在 这 种 情况 下 ， 不 同 的 自治 系统 可 能 采用 不 同 的 路 由 表 、 不 同 的 路 由 
选择 算法 。 在 不 同 自治 系统 之 间 用 外 部 网 关 协 议 (Exterior Gateway Protocol，EGP) 交换 路 由 
信息 。 可 以 想到 ，EGP 比 IGP 传送 的 信息 要 少 一 些 ， 因 为 EGP 只 涉及 自治 系统 之 间 的 路 由 
信息 ， 而 与 系统 内 部 路 由 无 关 。 换 而 言 之 ，EGP 以 自治 系统 为 节点 ， 通 告 各 个 网 关 可 到 达 哪 些 
系统 。 


AS1 AS2 


网 络 


图 6-30 ”内 部 网 关 协 议和 外 部 网 关 协 议 


6.7.2 ”外 部 网 关 协 议 
早期 有 一 个 外 部 网 关 协 议 叫 EGP， 最 新 的 外 部 网 关 协 议 叫 作 BGP (Border Gateway 
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Protocol)。 现 在 ，BGP 4 已 经 广泛 地 应 用 于 不 同 ISP 的 网 络 之 间 ， 成 为 事实 上 的 Intemet 外 部 路 
由 协议 标准 。 
BGP 4 是 一 种 动态 路 由 发 现 协议 ， 支 持 无 类 别 域 间 路 由 CIDR。BGP 的 主要 功能 是 控制 路 
由 策略 ， 例 如 是 否 愿 意 转 发 过 路 的 分 组 等 。BGP 的 4 种 报 文 如 表 6-6 所 示 ， 这 些 报 文通 过 TCP 
(179 端口 ) 连接 传送 。 在 BGP 中 用 上 述 4 种 报 文 可 实现 以 下 3 个 功能 过 程 ; 


表 6-6 BGP 的 4 种 报 文 


报 文 类 型 功能 描述 
打开 (Open) 建立 邻居 关系 
更 新 (Update) 发 送 新 的 路 由 信息 
保持 活动 状态 (Keepalive) 对 Open 的 应 答 /周期 性 地 确认 邻居 关系 
通告 Notification) 报告 检测 到 的 错误 


(1) 建立 邻居 关系 。 位 于 不 同 自治 系统 中 的 两 个 路 由 器 首先 要 建立 邻居 关系 ， 然 后 才能 周 
期 性 地 交换 路 由 信息 。 建 立 邻 居 关 系 的 过 程 是 由 一 个 路 由 器 发 送 Open 报 文 ， 另 一 个 路 由 器 若 
愿意 接受 请 求 则 以 Keepalive 报 文 应 答 。 至 于 路 由 器 如 何 知道 对 方 的 他 地址 , 协议 中 没有 规定 ， 
可 以 由 管理 人 员 在 配置 时 提供 。Open 报 文中 包含 发 送 者 的 他 地 址 及 其 所 属 自治 系统 的 标识 ， 
另外 还 有 一 个 保持 时 间 参 数 ， 即 定期 交换 信息 的 时 间 间 隔 。 接 收 者 把 Open 报 文中 的 保持 时 间 
与 自己 的 保持 时 间 计 数 器 比较 , 选取 其 中 的 较 小 者 , 这 就 是 一 次 交换 信息 保持 有 效 的 最 长 时 间 。 
建立 邻居 关系 的 一 对 路 由 器 以 选 定 的 周期 交换 路 由 信息 。 

(2) 邻居 可 到 达 性 。 这 个 过 程 维 护 邻 居 关 系 的 有 效 性 ， 通 过 周期 性 地 互相 发 送 Keepalive 
报 文 ， 双 方 都 知道 对 方 的 活动 状态 。 

(3) 网 络 可 到 达 性 。 每 个 路 由 器 维护 一 个 数据 库 ， 记 录 着 它 可 到 达 的 所 有 子 网 。 当 情况 有 
变化 时 用 更 新 报 文 把 最 新 信息 及 时 地 传送 给 其 他 BGP 路 由 器 。Update 报 文 包含 两 类 信息 : 一 
类 是 要 作废 的 路 由 器 列表 ， 另 一 类 是 新 增 路 由 的 属性 信息 。 前 者 列 出 了 已 经 关机 或 失效 的 一 些 
路 由 器 ， 接 收 者 应 把 有 关内 容 从 本 地 数据 库 中 删除 。 后 者 包含 以 下 3 种 信息 : 

。 ”网 络 层 可 到 达 信息 NLRI)。 发 送 路 由 器 可 到 达 的 子 网 地 址 列表 。 

。 ”经 过 的 自治 系统 (AS_Path)。 数据 报 经 过 的 自治 系统 的 标识 , 主要 用 于 通信 策略 控制 。 

收 到 这 个 信息 的 路 由 器 可 以 自主 决定 是 否 选 择 某 条 通路 , 例如 机 密 报 文 不 能 进入 某 些 
自治 系统 ， 或 者 由 于 线路 拥塞 而 决定 不 选择 某 条 通路 。 

。 ”下 一 跳 (Next-Hop)。 指 下 一 步 转发 的 边界 路 由 器 的 下 地址。 可 以 是 发 送 者 的 地 址 ， 

也 可 以 是 另外 的 边界 路 由 器 的 地 址 。 例 如 在 图 6-30 中 ，R1 告诉 R5， 通 过 R2 也 可 以 
到 达 AS1。 虽 然 R2 没有 实现 BGP， 也 没有 与 RS 建立 邻居 关系 ， 但 是 R1 通过 IGP 
知道 了 与 R2 有 关 的 路 由 信息 。 
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BGP 4 的 报 文 格式 如 图 6-31 所 示 。 所 有 的 BGP 报 文 都 有 19 个 字 节 的 固定 长 度 头 部 ， 其 中 
包括 16 个 字 节 的 标记 (用 于 认证 和 同步 )、 两 个 字 节 的 报 文 长 度 和 一 个 字 节 的 类 型 
字段 。 


4 字 节 


头 部 长 度 标记 


吴 

并 

末 
让 


BGP 报 文 的 数据 部 分 | 


图 6-31 BGP 报 文 格式 


图 6-32 表示 BGP 更 新 报 文 的 数据 部 分 ， 对 其 中 部 分 字段 解释 如 下 : 


不 可 用 的 路 由 长 度 (两 个 字 节 ) 
回收 的 路 由 (可 变 长 ) 


图 6-32 路 由 更 新 报 文 


。 ”不 可 用 的 路 由 长 度 (unfeasible routes length): 表示 回收 字段 的 长 度 。 
。 ”回收 的 路 由 (withdrawn routes): 包含 了 从 服务 中 撤销 的 路 由 的 下 地 址 前 级 列表 。 
。 通路 属性 (path attributes): 包含 了 与 网 络 层 可 到 达 性 信息 字段 中 的 中 地址 前 级 相关 
联 的 属性 列表 ， 例 如 路 由 信息 的 来 源 、 路 由 优先 级 、 实 施 路 由 聚合 的 BGP 实体 ， 以 
及 在 路 由 聚合 时 丢失 的 路 由 信息 等 。 
6.7.3 内 部 网 关 协 议 
网 关 协 议 也 叫 作 路 由 协议 (Routing Protocol)， 是 路 由 器 之 间 实 现 路 由 信息 共享 的 一 种 机 


制 ， 它 允许 路 由 器 之 间 通 过 交换 路 由 信息 维护 各 自 的 路 由 表 。 了 下 协议 是 根据 路 由 表 进行 分 组 转 
发 的 协议 ， 按 照 业 内 的 说 法 ， 应 该 叫 作 被 路 由 的 协议 (Routed Protocol)。 
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常用 内 部 路 由 协议 包括 路 由 信息 协议 (Routing Information Protocol，RIP)、 开 放 最 短路 径 
优先 协议 (Open Shortest Path First, OSPF )、 中 间 系 统 到 中 间 系 统 的 协议 (Intermediate System to 
Intermediate System，IS-IS)、 内 部 网 关 路 由 协议 (Interior Gateway Routing Protocol，IGRP) 和 
增强 的 IGRP 协议 Enhanced IGTRP，EIGRP) 等 ， 最 后 两 种 是 思科 公司 的 专利 协议 。 


1， 路 由 信息 协议 


RIP 的 原型 最 早出 现在 UNIX Berkley 4.3 BSD 中 , 它 采 用 Bellman-Ford 的 距离 矢量 路 由 算 
法 ， 用 于 在 ARPAnet 中 计算 最 佳 路 由 ， 现 在 的 RIP 作为 内 部 网 关 协 议 运行 在 基于 TCP/P 的 网 
络 中 。RIP 适用 于 小 型 网 络 ， 因 为 它 允 许 的 跳 步 数 不 超过 15 步 。 

1) RIPv1 

RIP 分 为 两 个 版 本 。RIPv1 (RFC 1058，1988) 是 早期 的 路 由 协议 ， 现 在 仍然 广泛 使 用 。 
RIPv1 使 用 本 地 广播 地 址 255.255.255.255 发 布 路 由 信息 ， 默 认 的 路 由 更 新 周期 为 30s， 持 有 时 
间 (Hold-Down Time) 为 180s。 也 就 是 说 ，RIP 路 由 器 每 30s 向 所 有 邻居 发 送 一 次 路 由 更 新 报 
文 ， 如 果 在 180s 之 内 没有 从 某 个 邻居 接收 到 路 由 更 新 报 文 ， 则 认为 该 邻居 已 经 不 存在 了 。 这 时 
如 果 从 其 他 邻居 收 到 了 有 关 同 一 目标 的 路 由 更 新 报 文 ， 则 用 新 的 路 由 信息 替换 已 失效 的 路 由 表 
项 ， 和 否则 ， 对 应 的 路 由 表 项 被 删除 。 

RIP 以 跳 步 计数 (Hop Count) 来 度量 路 由 费用 ， 显 然 这 不 是 最 好 的 度量 标准 。 例 如 ， 若 有 
两 条 到 达 同 一 目标 的 连接 , 一 条 是 经 过 两 跳 的 10M 以 太 网 连接 , 另 一 条 是 经 过 一 跳 的 64k WAN 
连接 ， 则 RIP 会 选取 WAN 连接 作为 最 佳 路 由 。 在 RIP 协议 中 ，15 跳 是 最 大 跳 数 ，16 跳 是 不 可 
到 达 网 络 ， 经 过 16 跳 的 任何 分 组 将 被 路 由 器 丢弃 。 

RIPv1 是 有 类 别 的 协议 〈Classful Protocol)， 这 意味 着 配置 RIPV1 时 必须 使 用 A、B 或 C 
类 IP 地 址 和 子 网 掩 码 ， 例 如 不 能 把 子 网 掩 码 255.255.255.0 用 于 B 类 网 络 172.16.0.0。 

对 于 同一 目标 ，RIP 路 由 表 项 中 最 多 可 以 有 6 条 等 费用 的 通路 ， 虽 然 默认 是 4 条 。RIP 可 
以 实现 等 费用 通路 的 负载 均衡 (Equal-Cost Load Balancing)， 这 种 机 制 提供 了 链 路 宛 余 功能 ， 
以 对 付 可 能 出 现 的 连接 失效 ， 但 是 RIP 不 支持 不 等 费用 通路 的 负载 均衡 ， 这 种 功能 出 现在 后 来 
的 IGRP 和 EIGRP 中 。 

2) RIPv2 

RIPv2 是 增强 了 的 REP 协议 ， 定 义 在 RFC 1721 和 RFC 1722 (1994) 中 。RIPv2 基本 上 还 
是 一 个 距离 矢量 路 由 协议 ， 但 是 有 3 个 方面 的 改进 。 首 先是 它 使 用 组 播 而 不 是 广播 来 传播 路 由 
更 新 报 文 ， 并 且 采 用 了 触发 更 新 〈Triggered Update) 机 制 来 加 速 路 由 收敛 ， 即 出 现 路 由 变化 时 
立即 向 邻居 发 送 路 由 更 新 报 文 ， 而 不 必 等 待 更 新 周期 是 否 到 达 。 其 次 是 RIPv2 是 一 个 无 类 别 的 
协议 (Classless Protocol), 可 以 使 用 可 变 长 子 网 掩 码 (VLSM), 也 支持 无 类 别 域 间 路 由 (CIDR)， 
这 些 功能 使 得 网 络 的 设计 更 具 伸 缩 性 。 第 3 个 增强 是 RIPv2 支持 认证 ， 使 用 经 过 散 列 的 口令 字 
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来 限制 路 由 更 新 信息 的 传播 。 其 他 方面 的 特性 与 第 一 版 相同 , 例如 以 跳 步 计数 来 度量 路 由 费用 ， 
允许 的 最 大 跳 步 数 为 15 等 。 

3) 路 由 收敛 和 水 平分 割 

距离 矢量 法 算法 要 求 相 邻 的 路 由 器 之 间 周 期 性 地 交换 路 由 表 ， 并 通过 逐步 交换 把 路 由 信息 
扩散 到 网 络 中 所 有 的 路 由 器 。 这 种 逐步 交换 过 程 如 果 不 加 以 限制 ， 将 会 形成 路 由 环 路 (Routing 
Loops)， 使 得 各 个 路 由 器 无 法 就 网 络 的 可 到 达 性 取得 一 致 。 

例如 在 图 6-33 中 ， 路 由 器 RI、R2、R3 的 路 由 表 已 经 收敛 ,每 个 路 由 表 的 后 两 项 是 通过 交 
换 路 由 信息 学 习 到 的 。 如 果 在 某 一 时 刻 ， 网 络 10.4.0.0 发 生 故障 ，R3 检测 到 故障 ， 并 通过 接口 
S0 把 故障 通知 给 R2。 然 而 ， 如 果 R2 在 收 到 R3 的 故障 通知 前 将 其 路 由 表 发 送 到 R3， 则 R3 会 
认为 通过 R2 可 以 访问 10.4.0.0， 并 据 此 将 路 由 表 中 的 第 二 条 记录 修改 为 (10.4.0.0，S0，2)。 
这 样 一 来 ， 路 由 器 R1I、R2、R3 都 认为 通过 其 他 的 路 由 器 存在 一 条 通 往 10.4.0.0 的 路 径 ， 结 果 
导致 目标 地 址 为 10.4.0.0 的 数据 包 在 3 个 路 由 器 之 间 来 回 传递 ， 从 而 形成 路 由 环 路 。 


10.1.0.0 a 10.2.0.0 10.3.0.0 10.4.0.0 


E0 S0 S0 S1 S0 E0 


图 6-33 路 由 表 的 内 容 


解决 路 由 环 路 问题 可 以 采用 水 平分 割 法 (Split Horizon)。 这 种 方法 规定 ， 路 由 器 必须 有 选 
择 地 将 路 由 表 中 的 信息 发 送 给 邻居 ， 而 不 是 发 送 整个 路 由 表 。 具 体 地 说 ， 一 条 路 由 信息 不 会 被 
发 送 给 该 信息 的 来 源 。 这 里 对 图 6-33 中 R2 的 路 由 表 项 加 上 一 些 注释 , 如 图 6-34 所 示 , 可 以 看 
出 ， 每 一 条 路 由 信息 都 不 会 通过 其 来 源 接口 向 外 发 送 ， 这 样 就 可 以 避免 环 路 的 产生 。 


图 6-34 路 由 信息 选择 发 送 
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简单 的 水 平分 割 方案 是 :“ 不 能 把 从 邻居 学 习 到 的 路 由 发 送 给 那个 邻居 ”， 带 有 反 向 毒化 的 
水 平分 割 方案 (Split Horizon with Poisoned Reverse) 是 :“ 把 从 邻居 学 习 到 的 路 由 费用 设置 为 无 
限 大 ， 并 立即 发 送 给 那个 邻居 ”。 采 用 反 向 毒化 的 方案 更 安全 一 些 ， 它 可 以 立即 中 断 环 路 。 相 
反 ， 简 单 水 平分 割 方案 则 必须 等 待 一 个 更 新 周期 才能 中 断 环 路 的 形成 。 

另外 ， 前 面 提 到 的 触发 更 新 技术 也 能 加 快 路 由 收 化 ， 如 果 触 发 更 新 足够 及 时 一 一 路 由 器 
R3 在 接收 R2 的 更 新 报 文 之 前 把 网 络 10.4.0.0 的 故障 告诉 R2， 则 也 可 以 防止 环 路 的 形成 。 


4) RIP 报 文 格式 


RIPv2 报 文 封装 在 UDP 数据 报 中 发 送 ， 占 用 端口 号 520， 报 文 格式 如 图 6-35 所 示 。 报 文 
包含 4 个 字 节 的 报头 , 然后 是 若干 个 路 由 记录 。RIP 报 文 最 多 可 携带 25 个 路 由 记录 ,每 个 路 由 


记录 20 个 字 节 ， 其 中 各 个 字段 的 解释 如 下 。 
4 字 节 
头 部 [ 命令 [ 版 本 [| 0 
地 址 族 标识 符 ] ”路由 标记 |】 站 
网 络 地 址 字 
子 网 挤 码 
下 一 跳 路 由 器 地 址 
距离 (1~16) 记 
录 


习 到 的 路 由 。 


最 多 25 个 路 由 记录 
图 6-35 ”RIPv2 报 文 格式 


命令 : 用 于 区 分 请 求 和 响应 报 文 。 
版 本 : 可 以 是 RIP 第 一 版 或 第 二 版 ， 两 种 版 本 报 文 格式 相同 。 
地 址 族 标识 符 : 对 于 “协议 ， 该 字段 为 2。 
路 由 标记 : 用 于 区 别 内 部 或 外 部 路 由 ， 用 16 位 的 AS 编号 来 区 分 从 其 他 自治 系统 学 


网 络 地 址 : 表示 目标 下 地 址 。 
子 网 扼 码 :对 于 RIPvV2， 该 字段 是 对 应 网 络 地 址 的 子 网 掩 码 ; 对 于 RIPv1， 该 字段 是 


0， 因 为 RIPvl 默认 使 用 A、B、C 类 地 址 掩 码 。 


. OSPF 协议 


下 一 跳 路 由 器 地 址 : 表示 下 一 跳 的 地 址 。 
距离 ， 表示 到 达 目 标的 跳 步 数 。 


OSPF (RFC 2328，1998) 是 一 种 链 路 状态 协议 ， 用 于 在 自治 内 部 的 路 由 器 之 间 交 换 路 由 
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信息 。OSPF 具有 支持 大 型 网 络 、 占 用 网 络 资源 少 、 路 由 收敛 快 等 优点 ， 在 目前 的 网 络 配置 中 
占有 很 重要 的 地 位 。 

距离 矢量 协议 发 布 自己 的 路 由 表 ， 交 换 的 路 由 信息 量 很 大 。 链 路 状态 协议 与 之 不 同 ， 它 是 
从 各 个 路 由 器 收集 链 路 状态 信息 ， 构 造 网 络 拓扑 结构 图 ， 使 用 Dijkstra 的 最 短 通路 优先 算法 

(Shortest Path First，SPF) 计算 到 达 各 个 目标 的 最 佳 路 由 。 

链 路 状态 协议 与 距离 矢量 协议 发 布 路 由 信息 的 方式 也 不 同 ,距离 矢量 协议 是 周期 性 地 发 布 
路 由 信息 ,而 链 路 状态 协议 是 在 网 络 拓扑 发 生变 化 时 才 发 布 路 由 信息 ,而且 OSPF 采用 TCP 连 
接 发 送 报 文 ， 每 个 报 文 都 要 求 应 答 ， 因 而 通信 更 加 可 靠 。 

为 了 适应 大 型 网 络 配 置 的 需要 ，OSPF 协议 引入 了 “分 层 路 由 ”的 概念 。 如 果 网 络 规模 很 
大 ， 则 路 由 器 要 学 习 的 路 由 信息 很 多 ， 对 网 络 资源 的 消耗 很 大 ， 所 以 典型 的 链 路 状态 协议 都 把 
网 络 划 分 成 较 小 的 区 域 (Area)， 从 而 限制 了 路 由 信息 传播 的 范围 。 每 个 区 域 就 如 同一 个 独立 的 
网 络 ， 区 域内 的 路 由 器 只 保存 该 区 域 的 链 路 状态 信息 ， 使 得 路 由 器 的 链 路 状态 数据 库 可 以 保持 
合理 的 大 小 ， 路 由 计算 的 时 间 和 报 文 数量 都 不 会 太 大 。OSPF 主干 网 负责 在 各 个 区 域 之 问 传播 
路 由 信息 。 

图 6-36 所 示 为 一 个 划分 成 3 个 区 域 的 OSPF 网 络 的 例子 ， 其 中 的 路 由 器 4、5、6、10、11 
和 12 组 成 主干 网 ,如 果 区 域 3 中 的 主机 Hl 要 向 区 域 2 中 的 主机 H2 发 送 数据 , 则 先 发 送 给 R13， 
由 它 转发 给 R12， 再 转发 给 R11，R11 沿 主干 网 转发 给 R10， 然 后 通过 区 域 2 内 的 路 由 器 R9 和 
R7 到 达 主 机 H2 。 


图 6-36 ”OSPF 的 分 区 


主干 网 本 身 也 是 OSPF 区 域 ， 称 为 区 域 0 (Area 0)， 主 干 网 的 拓扑 结构 对 所 有 的 跨 区 域 的 
路 由 器 都 是 可 见 的 。 
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1) OSPF 区 域 

每 个 OSPF 区 域 被 指定 了 一 个 32 位 的 区 域 标识 符 ， 可 以 用 点 分 十 进 制 表示 ， 例 如 主干 区 
域 的 标识 符 可 表示 为 0.0.0.0。OSPF 的 区 域 分 为 以 下 5 种 ， 不 同类 型 的 区 域 对 由 自治 系统 外 部 
传 入 的 路 由 信息 的 处 理 方 式 不 同 。 

。 标准 区 域 : 标准 区 域 可 以 接收 任何 链 路 更 新 信息 和 路 由 汇总 信息 。 

。 ”主干 区 域 : 主干 区 域 是 连接 各 个 区 域 的 传输 网 络 ， 其 他 区 域 都 通过 主干 区 域 交 换 路 由 

信息 。 主 干 区 域 拥有 标准 区 域 的 所 有 性 质 。 

。 ”存根 区 域 : 不 接收 本 地 自治 系统 以 外 的 路 由 信息 ， 对 自治 系统 以 外 的 目标 采用 默认 路 
由 0.0.0.0。 

。 ”完全 存根 区 域 : 不 接收 自治 系统 以 外 的 路 由 信息 ， 也 不 接收 自治 系统 内 其 他 区 域 的 路 
由 汇总 信息 ， 发 送 到 本 地 区 域外 的 报 文 使 用 默认 路 由 0.0.0.0。 完 全 存根 区 域 是 Cisco 
定义 的 ， 是 非 标准 的 。 

。 ”不 完全 存根 区 域 (NSAA): 类 似 于 存根 区 域 , 但 是 允许 接收 以 类 型 7 的 链 路 状态 公告 

发 送 的 外 部 路 由 信息 。 
2) OSPF 网 络 类 型 
网 络 的 物理 连接 和 拓扑 结构 不 同 ， 交 换 路 由 信息 的 方式 就 不 同 。OSPF 将 路 由 器 连接 的 物 
理 网 络 划 分 为 4 种 类 型 。 
。 点 对 点 网 络 : 例如 一 对 路 由 器 用 64kb 的 串 行 线路 连接 ， 就 属于 点 对 点 网 络 ， 在 这 种 
网 络 中 ， 两 个 路 由 器 可 以 直接 交换 路 由 信息 。 

。 广播 多 址 网 络 : 以 太 网 或 者 其 他 具有 共享 介质 的 局 域 网 都 属于 这 种 网 络 。 在 这 种 网 络 
中 ， 一 条 路 由 信息 可 以 广播 给 所 有 的 路 由 器 。 

。 ， 非 广播 多 址 网 络 (Non-Broadcast Multi-Access，NBMA): 例如 X.25 分 组 交换 网 就 属 
于 这 种 网 络 ， 在 这 种 网 络 中 可 以 通过 组 播 方式 发 布 路 由 信息 。 

。 ”点 到 多 点 网 络 : 可 以 把 非 广播 网 络 当 作 多 条 点 对 点 网 络 来 使 用 ， 从 而 把 一 条 路 由 信息 
发 送 到 不 同 的 目标 。 

如 果 两 个 路 由 器 都 通过 各 自 的 接口 连接 到 一 个 共同 的 网 络 上 , 则 它们 是 邻居 (Neighboring) 
关系 。 路 由 器 通过 OSPF 的 Hello 协议 来 发 现 邻居 。 路 由 器 可 以 在 其 邻居 中 选择 需要 交换 链 路 
状态 信息 的 路 由 器 ， 与 之 建立 毗邻 关系 (Adjacency)。 另 外 ， 并 不 是 每 一 对 邻居 都 需要 交换 路 
由 信息 ， 因 此 不 是 每 一 对 邻居 都 要 建立 毗邻 关系 。 在 一 个 广播 网 络 或 NBMA 网 络 中 要 选 一 个 
指定 路 由 器 (Designated Router，DR)， 其 他 的 路 由 器 都 与 DR 建立 毗邻 关系 ,把 自己 掌握 的 链 
路 状态 信息 提交 给 DR， 由 DR 代表 这 个 网 络 向 外 界 发 布 。 可 以 看 出 ，DR 的 存在 减少 了 毗邻 关 
系 的 数量 ， 从 而 也 减少 了 向 外 发 布 的 路 由 信息 量 。 
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3) OSPF 路 由 器 
在 多 区 域 网 络 中 ，OSPF 路 由 器 可 以 按 不 同 的 功能 划分 为 以 下 4 种 。 
内 部 路 由 器 : 所 有 接口 在 同一 区 域内 的 路 由 器 ， 只 维护 一 个 链 路 状态 数据 库 。 


主干 路 由 器 : 具有 连接 主干 区 域 接口 的 路 由 器 。 


区 域 边界 路 由 器 ABR: 连接 多 个 区 域 的 路 由 器 ， 一 般 作为 一 个 区 域 的 出 口 。ABR 为 


每 一 个 连接 的 区 域 建立 一 个 链 路 状态 数据 库 , 负责 将 所 连接 区 域 的 路 由 摘要 信息 发 送 


到 主干 区 域 ， 而 主干 区 域 上 的 ABR 则 负责 将 这 些 信 息 发 送 给 各 个 区 域 。 


自治 系统 边界 路 由 器 (ASBR): 至 少 拥有 一 个 连接 外 部 自治 系统 接口 的 路 由 器 ， 负责 


将 外 部 非 OSPF 网 络 的 路 由 信息 传 入 OSPF 网 络 。 


4) 链 路 状态 公告 
OSPF 路 由 器 之 间 通 过 链 路 状态 公告 (Link State Advertisement，LSA) 交换 网 络 拓扑 信息 。 
LSA 中 包含 连接 的 接口 、 链 路 的 度量 值 (Metric) 等 信息 。LSA 有 几 种 不 同类 型 的 报 文 ， 参 见 


表 6-7。 
表 6-7 LSA 类 型 
类 型 | 名 称 | 发 送 者 描述 

1 | 路 由 器 LSA fe ee 路 由 器 在 区 域内 连接 的 链 路 状态 
网 络 LSA li DR 在 区 域内 连接 的 各 个 
3 | 网 络 汇总 LSA | ABR ABR 连接 的 本 地 区 域 中 的 链 路 状态 

ASBR 汇总 自治 系统 边界 路 由 器 ASBR 的 可 到 
5 | 名 LSA | AsBR 了 在 要 区 之 外 的 基 | 自治 系统 之 外 的 的 路 由 信息 
6 组 播 LSA 用 于 建立 组 播 分 发 树 
7 Ne 连接 到 NSSA | 不 完全 存根 区 到 达 自 治 系统 之 外 的 目标 的 路 由 

的 ASBR Not-So-Stub-Area 可 以 由 ABR 转换 为 类 型 5 的 LSA 

5) OSPF 报 文 


表 6-8 列 出 了 OSPF 的 5 种 报 文 ， 这 些 报 文通 过 TCP 连接 传送 。OSPF 路 由 器 启动 后 以 固 


定 的 时 间 间 隔 泛 洪 传播 Hello 报 文 ， 采 用 目标 地 址 224.0.0.5 代表 所 有 的 OSPF 路 


点 网 络 上 每 10 秒 发 送 一 次 , 在 NBMA 网 络 中 每 30 秒 发 送 一 次 。 管 理 Hello 报 文 交换 的 规则 称 
为 Hello 协议 。Hello 协议 用 于 发 现 邻居 ， 建 立 毗 邻 关 系 ， 还 用 于 选 出 区 域内 的 指定 路 由 器 DR 
和 备份 指定 路 由 器 BDR。 


类 型 


表 6-8 OSPF 的 5 种 报 文 类 型 
报 文 类 型 功能 描述 


Hello 


用 于 发 现 相 邻 的 路 由 器 


数据 库 描述 DBD (DataBase Description) 表示 发 送 者 的 链 路 状态 数据 库 内 容 


链 路 状态 请 求 LSR (Link-State Request) 向 对 方 请 求 链 路 状态 信息 


wl | 一 


链 路 状态 更 新 LSU (Link-State Update) 向 邻居 路 由 器 发 送 链 路 状态 通告 


在 正常 情况 下 ， 


链 路 状态 应 答 LSAck (Link-State Acknowledgement) | 对 链 路 状态 更 新 报 文 的 应 答 


区 域内 的 路 由 器 与 本 区 域 的 DR 和 BDR 通过 互相 发 送 数 据 库 描述 报 文 


(DBD ) 交换 链 路 状态 信息 。 路 由 器 把 收 到 的 链 路 状态 信息 与 自己 的 链 路 状态 数据 库 进行 比较 ， 
如 果 发 现 接收 到 了 不 在 本 地 数据 库 中 的 链 路 信息 ， 则 向 其 邻居 发 送 链 路 状态 请 求 报 文 LSR， 要 
求 传送 有 关 该 链 路 的 完整 更 新 信息 。 接 收 到 LSR 的 路 由 器 用 链 路 状态 更 新 LSU 报 文 响应 ， 其 
中 包含 了 有 关 的 链 路 状态 通告 LSA。LSAck 用 于 对 LSU 进行 确认 。 

OSPF 报 文 格式 如 图 6-37 所 示 ， 对 报 文 头 的 各 个 字段 解释 如 下 。 


0 8 16 31 
版 本 类 型 分 组 长 度 
路 由 器 ID 
区 域 ID 
校 验 和 认证 类 型 


认 证 


认 


(a) OSPF 报 文 头 
| 一 2 第 一 


(b) OSPF 报 文 


图 6-37 OSPF 报 文 格式 


e。 ”版 本 : OSPF 版 本 1 已 废弃 ， 现 在 使 用 的 是 版 本 2。 
。 ”类 型 : 如 表 6-7 所 示 。 
。 ”分 组 长 度 : 整个 OSPF 报 文 的 长 度 。 


。 ”路 由 器 人 D: 


利用 路 由 器 环 路 接口 (Loopback) 的 下 地址 作为 路 由 器 的 标识 ， 如 果 没 


有 环 路 接口 瑟 地 址 ， 则 选择 最 大 的 接口 他 地 址 作为 路 由 器 标识 。 
。 ”区 域 D: 在 多 区 域 网 络 中 ， 每 一 个 区 域 指定 一 个 区 域 人 D。 
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。 ”认证 类 型 .OSPF 支持 不 同 的 认证 方法 ， 对 组 播 地 址 224.0.0.5 发 送 的 Hello 分 组 要 经 
过 认证 才能 被 接收 。 

6) OSPF 的 优 缺 点 

链 路 状态 协议 的 优点 如 下 : 

(1) 链 路 状态 协议 使 用 了 分 层 的 网 络 结构 ， 减 小 了 LSA 的 传播 范围 ， 同 时 也 减 小 了 网 络 
拓扑 变化 时 影响 所 有 路 由 器 的 可 能 性 。 与 之 相反 ， 距 离 矢量 网 络 是 扁平 结构 ， 网 络 某 一 部 分 出 
现 的 变化 会 影响 到 网 络 中 的 所 有 路 由 器 。 这 种 情况 在 链 路 状态 网 络 中 不 会 出 现 ， 例 如 在 OSPF 
协议 中 ， 一 个 分 区 内 部 的 拓扑 变化 不 会 影响 其 他 分 区 。 

(2) 链 路 状态 协议 使 用 组 播 来 共享 路 由 信息 ， 并 且 发 布 的 是 增 量 式 的 更 新 消息 。 一 旦 所 有 
的 链 路 状态 路 由 器 开始 工作 并 了 解 了 网 络 拓扑 结构 之 后 ， 只 是 在 网 络 拓扑 出 现 变化 时 才 发 出 更 
新 报 文 ， 这 使 得 网 络 带 宽 的 利用 和 资源 消耗 更 有 效 。 

(3) 链 路 状态 协议 支持 无 类 别 的 路 由 和 路 由 汇总 功能 ， 可 以 使 用 VLSM 和 CIDR 技术 。 路 
由 汇总 使 得 发 布 的 路 由 信息 更 少 。 一 条 汇总 路 由 失效 ， 意 味 着 其 中 的 所 有 子 网 都 失效 了 ， 如 果 
只 是 其 中 的 部 分 链 路 失效 ， 则 不 会 影响 汇总 路 由 的 状态 ， 也 不 会 影响 网 络 中 的 很 多 路 由 器 。 路 
由 汇总 还 使 得 链 路 状态 数据 库 减 小 ,从 而 减少 了 运行 SPF 算法 和 更 新 路 由 表 需 要 的 CPU 周期 ， 
也 减少 了 路 由 器 中 的 存储 需求 。 

(4) 使 用 SPF 算法 不 会 在 路 由 表 中 出 现 环 路 ， 而 这 是 距离 矢量 路 由 协议 难以 处 理 的 问题 。 

链 路 状态 协议 也 有 一 个 明显 的 缺点 ， 它 比 距离 矢量 协议 对 CPU 和 存储 器 的 要 求 更 高 。 链 
路 状态 协议 需要 维护 更 多 的 存储 表 ， 例 如 邻居 表 、 路 由 表 和 链 路 状态 数据 库 等 。 当 网 络 中 出 现 
变化 时 ， 路 由 器 要 更 新 链 路 状态 数据 库 ， 运 行 SPF 算法 ， 建 立 最 小 生成 树 ， 并 重建 路 由 表 ， 这 
需要 耗费 很 多 CPU 周期 来 完成 诸如 计算 新 的 路 由 度量 、 与 当前 的 路 由 表 项 进行 比较 等 操作 。 如 
果 在 链 路 状态 网 络 中 出 现 了 一 条 连续 翻转 (Flapping) 的 路 由 ,特别 是 以 10 一 15s 的 周期 连续 翻 
转 时 ， 这 种 情况 将 是 灾难 性 的 ， 会 使 许多 路 由 器 的 CPU 因 不 堪 重 负 而 崩溃 。 


6.7.4 ”核心 网 关 协 议 


Internet 中 有 一 个 主干 网 ， 所 有 的 自治 系统 都 连接 到 主干 网 上 。 这 样 ，Itemet 的 总 体 结构 
如 图 6-38 所 示 ， 分 为 主干 网 和 外 围 部 分 ， 后 者 包含 所 有 的 自治 系统 。 

主干 网 中 的 网 关 叫 核心 网 关 。 核心 网 关 之 间 交换 路 由 信息 时 使 用 核心 网 关 协 议 (Gateway to 
Gateway Protocol，GGP)。 这 里 要 区 分 EGP 和 GGP，EGP 用 于 两 个 不 同 自治 系统 之 间 的 网 关 
交换 路 由 信息 ， 而 GGP 是 主干 网 中 的 网 关 协 议 。 因 为 主干 网 中 的 核心 网 关 是 由 InterNOC 直接 
控制 的 ， 所 以 GGP 更 具有 专用 性 。 当 一 个 核心 网 关 加 入 主干 网 时 用 GGP 协议 向 邻 机 广播 发 送 
路 由 信息 ， 各 邻 机 更 新 路 由 表 ， 并 进一步 传播 新 的 路 由 信息 。 
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图 6-38 ”Intemet 的 总 体 结构 


网 关 交 换 的 路 由 信息 与 EGP 协议 类 似 ， 指 明 网 关连 接 哪些 网 络 ， 距 高 是 多 少 ， 距 离 也 是 
以 中 间 网 关 个 数 计数 。GGP 协议 的 报 文 格式 与 EGP 类 似 。 报 文 分 为 以 下 4 类 。 

。 ”路 由 更 新 报 文 : 发 送 路 由 信息 。 

。 ”应 答 报 文 : 对 路 由 更 新 报 文 的 应 答 ， 分 肯定 、 否 定 两 种 。 

。 ”测试 报 文 : 测试 相 邻 网 关 是 否 存 在 。 

。 ”网 络 接口 状态 报 文 : 测试 本 地 网 络 连接 的 状态 。 


6.8 路 由 器 技术 


在 因特网 发 展 过 程 中 还 有 许多 问题 需要 解决 。 问 题 之 一 是 随 着 网 络 互 连 规模 的 扩大 和 信息 
流量 的 增加 ， 路 由 器 逐渐 成 为 网 络 通信 的 瓶颈 。 自 从 20 世纪 80 年 代 以 来 ， 路 由 器 以 其 高 度 的 
灵活 性 和 安全 性 在 局 域 网 分 隔 和 广 域 互 连 中 得 到 了 广泛 应 用 ， 然 而 路 由 器 是 无 连接 的 设备 ， 它 
对 每 个 数据 报 独立 地 进行 路 由 选择 ， 哪 怕 是 同一 对 主机 之 间 的 通信 ， 都 要 对 各 个 数据 包 单独 处 
理 ， 这 样 的 开销 使 得 路 由 器 的 春 吐 率 相 对 于 交换 机 大 为 降低 。 解 决 这 个 问题 的 方法 已 经 提出 了 
许多 种 ， 都 可 归纳 为 第 三 层 交 换 技术 ， 随 后 将 介绍 这 些 技术 。 

因特网 面临 的 另外 一 个 问题 是 人 P 地 址 短缺 问题 。 解 决 这 个 问题 有 所 谓 长 期 的 或 短期 的 两 
种 解决 方案 。 长 期 的 解决 方案 就 是 使 用 具有 更 大 地 址 空间 的 IPv6 协议 , 短期 的 解决 方案 有 网 络 
地 址 翻译 (Network Address Translators, NAT) 和 无 类 别 的 域 间 路 由 技术 (Classless Inter Domain 
Routing，GIDR) 等 ， 这 些 技术 都 是 在 现 有 的 IPv4 路 由 器 中 实现 的 。 
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6.8.1 NAT 技术 


NAT 技术 主要 解决 IP 地 址 短缺 问题 ， 最 初 提出 的 建议 是 在 子 网 内 部 使 用 局 部 地 址 ， 而 在 
子 网 外 部 使 用 少量 的 全 局 地 址 ， 通 过 路 由 器 进行 内 部 和 外 部 地 址 的 转换 。 局 部 地 址 是 在 子 网 内 
部 独立 编 址 的 ， 可 以 与 外 部 地 址 重 毒 。 这 种 想法 的 基础 是 假定 在 任何 时 候 子 网 中 只 有 少数 计算 
机 需要 与 外 部 通信 , 可 以 让 这 些 计算 机 共享 少量 的 全 局 人 P 地 址 。 后 来 根据 这 种 技术 又 开发 出 其 
他 一 些 应 用 ， 下 面 讲述 两 种 最 主要 的 应 用 。 

第 一 种 应 用 是 动态 地 址 翻译 (Dynamic Address Translation )。 为 此 首先 引入 存根 域 的 概念 ， 
所 谓 存根 域 (Stub Domain)， 就 是 内 部 网 络 的 抽象 ， 这 样 的 网 络 只 处 理 源 和 目标 都 在 子 网 内 部 
的 通信 。 任 何 时 候 存 根 域内 只 有 一 部 分 主机 要 与 外 界 通信 ， 甚 至 还 有 许多 主机 可 能 从 不 与 外 界 
通信 ， 所 以 整个 存根 域 只 需 共享 少量 的 全 局 中 地址。 存根 域 有 一 个 边界 路 由 器 ， 由 它 来 处 理 域 
内 主机 与 外 部 网 络 的 通信 。 在 此 做 以 下 假定 。 

。 mm: 需要 翻译 的 内 部 地 址 数 。 

。 nn: 可 用 的 全 局 地 址 数 “NAT 地 址 )。 

当 m:n 翻译 满足 条 件 〈m>1 and m>n) 时 ， 可 以 把 一 个 大 的 地 址 空间 映像 到 一 个 小 的 地 址 
空间 。 所 有 NAT 地 址 放 在 一 个 缓冲 区 中 , 并 在 存根 域 的 边界 路 由 器 中 建立 一 个 局 部 地 址 和 全 局 
地 址 的 动态 映像 表 ， 如 图 6-39 所 示 。 

SRC 138.201.148.32 六 | 


SRC 178.201.112.34 


NAT 路 由 器 


SRC 178.201.112.11 
DST 178.2201.112.11 


SRC 138.201.148.151 | 
DST 138.201.148.151… 


| 


| 动态 NAT 表 

| 内 部 卫 NAT IP 
138.201.14832 178.201.112.34 SRC : 源 地 址 
138.201.148.151 178.201.112.11 DST : 目标 地 址 


图 6-39 动态 网 络 地 址 翻译 


这 个 图 显示 的 是 把 所 有 B 类 网 络 138.201.0.0 中 的 下 地 址 翻译 成 C 类 网 络 178.201.112.0 中 
的 中 地 址 。 这 种 NAT 地 址 重用 有 以 下 特点 : 
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(1) 只 要 缓冲 区 中 存在 尚未 使 用 的 C 类 地 址 ， 任 何 从 内 向 外 的 连接 请 求 都 可 以 得 到 响应 ， 
并 且 在 边界 路 由 器 的 动态 NAT 表 为 之 建立 一 个 映像 表 项 。 

(2) 如 果 内 部 主机 的 映像 存在 ， 可 以 利用 它 建立 连接 。 

(3) 从 外 部 访问 内 部 主机 是 有 条 件 的 ， 即 动态 NAT 表 中 必须 存在 该 主机 的 映像 。 

动态 地 址 翻译 的 好 处 是 节约 了 全 局 IP 地 址 ， 而 且 不 需要 改变 子 网 内 部 的 任何 配置 ， 只 需 
在 边界 路 由 器 中 设置 一 个 动态 地 址 变换 表 就 可 以 工作 了 。 

另外 一 种 特殊 的 NAT 应 用 是 m:1 翻译 ， 这 种 技术 也 叫 作 伪装 〈Masquerading)， 因 为 用 一 
个 路 由 器 的 人 P 地 址 可 以 把 子 网 中 所 有 主机 的 下 地 址 都 隐藏 起 来 。 如 果子 网 中 有 多 个 主机 同时 
都 要 通信 ， 那 么 还 要 对 端口 号 进行 翻译 ， 所 以 这 种 技术 经 常 被 称 为 网 络 地 址 和 端口 翻译 
(Network Address Port Translation， NAPT)。 在 很 多 NAPT 实现 中 专门 保留 一 部 分 端口 号 给 伪装 
使 用 ， 叫 作伪 装 端口 号 。 图 6-40 中 的 NAT 路 由 器 中 有 一 个 伪装 表 ， 通 过 这 个 表 对 端口 号 进行 
翻译 ， 从 而 隐藏 了 内 部 网 络 138.201.0.0 中 的 所 有 主机 。 


SRC 138.201.148.32 : 1275 
DST 193.46 94.115 : 80 


SRC 195.112.12.161: 63451 
DST 193.46.94.115:80 


一 


SRC 138.201.160.201: 4192 
DST 53.12.198.15 : 23 


。 | SRC 195.112.12.161: 63452 
" DST 53.12.198.15: 23 


伪装 NAT 表 
内 部 IP/ 端口 号 本 地 NAT 端 口 
138.201.148.32:1275 63451 SRC : 源 地 址 
138.201.160.201:4192 63452 DST : 目标 地 址 
图 6-40 ”地 址 伪装 


可 以 看 出 ， 这 种 方法 有 以 下 特点 : 

(1) 出 口 分 组 的 源 地 址 被 路 由 器 的 外 部 下 地 址 所 代替 ， 出 口 分 组 的 源 端口 号 被 一 个 未 使 
用 的 伪装 端口 号 所 代替 。 

(2) 如 果 进 来 的 分 组 的 目标 地 址 是 本 地 路 由 器 的 中 地 址 ， 而 目标 端口 号 是 路 由 器 的 伪装 
端口 号 ， 则 NAT 路 由 器 就 检查 该 分 组 是 否 为 当前 的 一 个 伪装 会 话 ， 并 试图 通过 伪装 表 对 外 地 
址 和 端口 号 进行 翻译 。 

伪装 技术 可 以 作为 一 种 安全 手段 使 用 ， 借 以 限制 外 部 网 络 对 内 部 主机 的 访问 。 另 外 ， 还 可 
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以 用 这 种 技术 实现 虚拟 主机 和 虚拟 路 由 ， 以 便 达 到 负载 均衡 和 提高 可 靠 性 的 目的 。 
6.8.2 CIDR 技术 


CIDR 技术 可 以 解决 路 由 缩放 问题 。 所 谓 路 由 缩放 问题 ， 有 两 层 含义 : 其 一 是 对 于 大 多 数 
中 等 规模 的 组 织 没有 适合 的 地 址 空间 ， 这 样 的 组 织 一 般 拥 有 几 千 台 主 机 ，C 类 网 络 太 小 ， 只 有 
254 个 地 址 ，B 类 网 络 太 大 ， 有 65 000 多 个 地 址 ，A 类 网 络 就 更 不 用 说 了 ,况且 A 类 和 B 类 地 
址 快要 分 配 完 了 ; 其 二 是 路 由 表 增 长 太 快 ， 如 果 所 有 的 C 类 网 络 号 都 在 路 由 表 中 占 一 行 ， 这样 
的 路 由 表 太 大 了 ， 其 查找 速度 将 无 法 达到 令 人 满意 的 程度 。CIDR 技术 就 是 解决 这 两 个 问题 的 ， 它 
可 以 把 若干 个 C 类 网 络 分 配给 一 个 用 户 ， 并 且 在 路 由 表 中 只 占 一 行 ， 这 是 一 种 将 大 块 的 地 址 空 
间 合 并 为 少量 路 由 信息 的 策略 。 
为 了 说 明 CIDR 的 原理 ， 假 定 网 络 服务 提供 商 RA 有 一 个 由 2048 个 C 类 网 络 组 成 的 地 址 
块 ， 网 络 号 为 192.24.0.0 一 192.31.255.0， 这 种 地 址 块 叫 作 超 网 (supernet)。 对 于 这 个 地 址 块 的 
路 由 信息 ， 可 以 用 网 络 号 192.24.0.0 和 地 址 掩 码 255.248.0.0 来 表示 ， 简 写 为 192.24.0.0/13。 
再 假定 RA 连接 以 下 6 个 用 户 。 
。 用户 C1: 最 多 需要 2048 个 地 址 ， 即 8 个 C 类 网 络 。 
。 ”用 户 C2: 最 多 需要 4096 个 地 址 ， 即 16 个 C 类 网 络 。 
e。 ”用户 C3: 最 多 需要 1024 个 地 址 ， 即 4 个 C 类 网 络 。 
。 用户 C4: 最 多 需要 1024 个 地 址 ， 即 4 个 C 类 网 络 。 
。 ”用 户 C5: 最 多 需要 512 个 地 址 ， 即 两 个 C 类 网 络 。 
。 ， 用户 C6: 最 多 需要 512 个 地 址 ， 即 两 个 C 类 网 络 。 
假定 RA 对 6 个 用 户 的 地 址 分 配 如 下 。 
。 Cl: 分 配 192.24.0 一 192.24.7。 这 个 网 络 块 可 以 用 超 网 路 由 192.24.0.0 和 掩 码 255.255. 
248.0 表示 ， 简 写 为 192.24.0.0/21。 
。 C2: 分 配 192.24.16 一 192.24.31。 这 个 网 络 块 可 以 用 超 网 路 由 192.24.16.0 和 掩 码 255.255. 
240.0 表示 ， 简 写 为 192.24.16.0/20。 
。 C3: 分 配 192.24.8 一 192.24.11。 这 个 网 络 块 可 以 用 超 网 路 由 192.24.8.0 和 掩 码 255.255. 
252.0 表示 ， 简 写 为 192.24.8.0/22。 
。  C4: 分 配 192.24.12 一 192.24.15。 这 个 网 络 块 可 以 用 超 网 路 由 192.24.12.0 和 掩 码 255.255. 
252.0 表示 ， 简 写 为 192.24.12.0/22。 
。  C5: 分 配 192.24.32 一 192.24.33。 这 个 网 络 块 可 以 用 超 网 路 由 192.24.32.0 和 掩 码 255.255. 
254.0 表示 ， 简 写 为 192.24.32.0/23。 
。  C6: 分 配 192.24.34 一 192.24.35。 这 个 网 络 块 可 以 用 超 网 路 由 192.24.34.0 和 掩 码 255.255. 
254.0 表示 ， 简 写 为 192.24.34.0/23 。 
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还 假定 C4 和 C5 是 多 宿主 网 络 (multi-homed network)， 除 了 RA 之 外 还 与 网 络 服务 供应 
商 RB 连接 。RB 也 拥有 2 048 个 C 类 网 络 号 ， 为 192.32.0.0 一 192.39.255.0， 这 个 超 网 可 以 用 网 
络 号 192.32.0.0 和 地 址 掩 码 255.248.0.0 来 表示 ， 简 写 为 192.32.0.0/13。 另 外 还 有 一 个 C7 用 户 ， 
原来 连接 RB， 现 在 连接 RA， 所 以 C7 的 C 类 网 络 号 是 由 RB 赋予 的 。 
。 C7: 分 配 192.32.0~192.32.15。 这 个 网 络 块 可 以 用 超 网 路 由 192.32.0 和 掩 码 255.255. 
240.0 表示 ， 简 写 为 192.32.0.0/20。 
对 于 多 宿主 网 络 ， 假 定 C4 的 主 路 由 是 RA， 次 路 由 是 RB; C5 的 主 路 由 是 RB， 次 路 由 是 
RA。 另 外 ， 假 定 RA 和 RB 通过 主干 网 BB 连接 在 一 起 。 这 个 连接 如 图 6-41 所 示 。 


cl 
192.24.0.0-192.24.7.0 八 192.32.0.0-192.32.15.0 
192.24.0.0/255.255.248.0 192.32.0.0/255.255.240.0 
C2 C7 
人 192.24.12.0-192.24.15.0 
192.24.16.0/255.255.240.0| RA 192.24.12.0/255.255.252.0 RB 
C3 C4 
62 | pe 192.24.32.0-192.24.33.0 
192.24.8.0/255.255.252.0 192.24.32.0/255.255.254.0 
C6 C5 
192.24.34.0-192.24.35.0™| 4 
192.24.34.0/255.255.254.0 
192.24.12.0/255.255.252.0 (C4) 192.24.12.0/255.255.252.0 (C4) 
192.32.0.0/255.255.240.0 (C7) 192.24.32.0/255.255.254.0 (C5) 
192.24.0.0/255.248.0.0 (RA) 192.32.0.0/255.248.0.0 (RB) 


BACKBONE PEER BB 


图 6-41 CIDR 的 例子 


路 由 发 布 遵循 “最 大 匹配 ”的 原则 ， 要 包含 所 有 可 以 到 达 的 主机 地 址 。 据 此 ，RA 向 BB 
发 布 的 路 由 信息 包括 它 拥有 的 网 络 地 址 块 192.24.0.0/13 和 C7 的 地 址 块 192.24.12.0/22。 由 于 C4 
是 多 宿主 网 络 并 且 主 路 由 通过 RA， 所 以 C4 的 路 由 要 专门 发 布 。C5 也 是 多 宿主 网 络 ， 但 是 主 
路 由 是 RB， 所 以 RA 不 发 布 它 的 路 由 信息 。 总 之 ，RA 向 BB 发 布 的 路 由 信息 是 : 
192.24.12.0/255.255.252.0 primary (C4 的 地 址 块 ) 
192.32.0.0/255.255.240.0 primary (C7 的 地 址 块 ) 
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192.24.0.0/255.248.0.0 primary (RA 的 地 址 块 ? 

RB 发 布 的 信息 包括 C4 和 C5， 以 及 它 自 己 的 地 址 块 ，RB 向 BB 发 布 的 路 由 信息 是 : 
192.24.12.0/255.255.252.0 secondary 《C4 的 地 址 块 ) 
192.24.32.0/255.255.254.0 primary (C5 的 地 址 块 ) 
192.32.0.0/255.248.0.0 primary (RB 的 地 址 块 》 


6.8.3 ”第 三 层 交 换 技术 


所 请 第 三 层 交换 ,是 指 利用 第 二 层 交 换 的 高 带宽 和 低 延迟 优势 尽快 地 传送 网 络 层 分 组 的 技 
术 。 交 换 与 路 由 不 同 ， 前 者 用 硬件 实现 ， 速 度 快 ， 而 后 者 由 软件 实现 ， 速 度 慢 。 三 层 交换 机 的 
工作 原理 可 以 概括 为 : 一 次 路 由 ， 多 次 交换 。 也 就 是 说 ， 当 三 层 交换 机 第 一 次 收 到 一 个 数据 包 
时 必须 通过 路 由 功能 寻找 转发 端口 ， 同 时 记 住 目标 MAC 地 址 和 源 MAC 地 址 ， 以 及 其 他 有 关 
信息 ， 当 再 次 收 到 目标 地 址 和 源 地 址 相同 的 帧 时 就 直接 进行 交换 ， 不 再 调用 路 由 功能 。 所 以 ， 
三 层 交 换 机 不 但 具有 路 由 功能 ， 而 且 比 通常 的 路 由 器 转发 得 更 快 。 

IETF 开发 的 多 协议 标记 交换 (Multiprotocol Label Switching，MPLS，RFC3031) 把 第 2 
层 的 链 路 状态 信息 《带宽 、 延 迟 、 利 用 率 等 ) 集成 到 第 3 层 的 协议 数据 单元 中 ， 从 而 简化 和 改 
进 了 第 3 层 分 组 的 交换 过 程 。 理 论 上 ，MPLS 支持 任何 第 2 层 和 第 3 层 协议 。MPLS 包头 的 位 
置 界 于 第 2 层 和 第 3 层 之 间 ， 可 称 为 第 2.5 层 ， 标 准 格式 如 图 6-42 所 示 。MPLS 可 以 承载 的 报 
文通 常 是 他 包 ， 当 然 也 可 以 直接 承载 以 太 帧 、AAL5 包 ， 甚 至 ATM 信 元 等 。 承 载 MPLS 的 第 
2 层 协议 可 以 是 PPP、 以 太 帧 、ATM 和 帧 中 继 等 ， 如 图 6-43 所 示 。 


链 路 层 头 | MPLS [ma | 其 他 层 的 头 和 数据 


Sa ~、 
到 Se 
有 ~~、、 
| 标记 (20 位 ) | EXP(3) sw | Tus | 
试验 功能 | 
堆栈 位 


图 6-42 MPLS 标记 的 标准 格式 


当 分 组 进入 MPLS 网 络 时 ， 标 记 边 缘 路 由 器 (Label Edge Router，LER) 就 为 其 加 上 一 个 
标记 ， 这 种 标记 不 仅 包 含 了 路 由 表 项 中 的 信息 (目标 地 址 、 带 宽 和 延迟 等 )， 而 且 还 引用 了 下 
头 中 的 源 地址 字段 、 传 输 层 端口 号 和 服务 质量 等 。 这 种 分 类 一 旦 建立 ， 分 组 就 被 指定 到 对 应 的 
标记 交换 通路 (Label Switch Path，LSP) 中 ， 标 记 交 换 路 由 器 (Label Switch Router，LSR) 将 
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根据 标记 来 处 置 分 组 ， 不 再 经 过 第 3 层 转发 ， 从 而 加 快 了 网 络 的 传输 速度 。 


PPP | PPP 头 | MPLS 头 全 头 和 数据 
以 大 网 | 以 太 帧 头 | MPLS 头 IP 头 和 数据 
帧 中 继 | Flags DLCI | DLCI | | | DATA FCS Flags 
ATM | GrFc VPI val | mm ctp|HEc| ”DATA 
~ 


图 6-43 ”MPLS 包头 的 位 置 


MPLS 可 以 把 多 个 通信 流 汇聚 成 为 一 个 转发 等 价 类 (Forward Equivalent Class, FEC)。LER 
根据 目标 地 址 和 端口 号 把 分 组 指派 到 一 个 等 价 类 中 , 在 LSR 中 只 需 根据 等 价 类 标记 查找 标记 信 
息 库 (Label Information Base，LIB)， 确 定 下 一 跳 的 转发 地 址 ， 这 样 使 得 协议 更 具 伸 缩 性 。 

MPLS 标记 具有 局 部 性 ， 一 个 标记 只 是 在 一 定 的 传输 域 中 有 效 。 在 图 6-44 中 ， 有 A、B、 
C 三 个 传输 域 和 两 层 路 由 。 在 A 域 和 C 域 内 ，P 包 的 标记 栈 只 有 一 层 标记 Ll1; 而 在 B 域内， 
人 P 包 的 标记 栈 中 有 两 层 标记 Ll 和 L2。LSR4 收 到 来 自 LSR3 的 数据 包 后 ,将 Ll 层 的 标记 换 成 
目标 LSR7 的 路 由 值 ， 同 时 在 标记 栈 增加 一 层 标记 L2, 称 为 入 栈 。 在 B 域内 ， 只 需 根据 标记 栈 
的 最 上 层 L2 标记 进行 交换 即 可 。LSR7 收 到 来 自 LSR6 的 数据 包 后 ， 应 首先 将 数据 包 最 上 层 的 
12 标记 弹出 ， 其 下 层 工 1 标记 变 成 最 上 层 标 记 ， 称 为 出 栈 ， 然 后 在 C 域 中 进行 路 由 处 理 。 


一 传输 方向 


Cr rr 


PP TUTlm ]| 


图 6-44 多 层 标记 的 例子 


MPLS 转发 处 理 简单 ， 提 供 显 式 路 由 ， 能 进行 业务 规划 ， 提 供 QoS 保障 ， 提 供 多 种 分 类 粒 
度 ， 用 一 种 转发 方式 实现 各 种 业务 的 转发 。 与 下 over ATM 技术 相 比 ，MPLS 具有 可 扩展 性 强 、 
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兼容 性 好 、 易 于 管理 等 优点 。 但 是 ， 如 何 寻 找 最 短路 径 ， 如 何 管理 每 条 LSP 的 QoS 特性 等 技 
术 问 题 还 在 讨论 之 中 。 


6.9 IIP 组 播 技术 


通常 ,一 个 他 地 址 代表 一 个 主机 , 但 D 类 了 王 地 址 指向 网 络 中 的 一 组 主机 。 由 一 个 源 向 
组 主机 发 送信 息 的 传输 方式 称 为 组 播 〈(Multicast)。 现 在 ， 越 来 越 多 的 多 媒体 网 站 利用 卫 组 播 
技术 提供 公共 服务 ， 例 如 IPTV、 网 络 会 议 、 远 程 教育 、 商 业 股票 交易 ， 以 及 在 工作 组 成 员 之 
间 实 时 交换 文件 、 图 片 或 消息 等 。 


6.9.1 组 播 模型 概述 


局 域 网 中 有 一 类 MAC 地 址 是 组 播 地 址 ， 局 域 网 又 是 广播 式 通信 网 络 ， 在 局 域 网 中 实现 组 
播 是 轻而易举 的 事情 。 但 是 在 互联 网 中 实现 组 播 却 不 是 那么 简单 ， 这 主要 是 基于 下 面 的 理由 : 

(1) 不 能 用 广播 的 方式 向 所 有 组 成 员 发 送 分 组 ， 因 为 广播 数据 包 只 能 在 同一 子 网 内 传输 ， 
路 由 器 会 封锁 本 地 子 网 的 边界 ， 禁 止 跨 子 网 的 广播 通信 。 

(2) 即使 采用 广播 方式 在 同一 子 网 中 发 送 组 播 数据 包 ， 也 会 产生 宛 余 的 流量 ， 浪 费 网 络 带 
宽 ， 影 响 非 组 播 成 员 之 间 的 通信 。 

(3) 如 果 采 用 单 播 方式 向 所 有 组 播 成 员 逐 个 发 送 分 组 ， 也 会 产生 多 余 的 分 组 ， 特 别 是 在 接 
近 源 站 的 链 路 上 要 多 次 传送 仅仅 是 目标 地 址 不 同 的 多 个 分 组 。 

组 播 技术 克服 了 上 述 方法 的 缺点 。 每 一 个 组 播 组 被 指定 了 一 个 D 类 地 址 作为 组 标识 符 。 组 
播 源 利 用 组 地 址 作为 目标 地 址 来 发 送 分 组 ， 组 播 成 员 向 网 络 发 出 通知 ， 声 明 它 期 望 加 入 的 组 的 
地 址 。 例 如 ， 如 果 某 个 内 容 与 组 地 址 239.1.1.1 有 关 ， 则 组 播 源 发 送 的 数据 报 的 目标 地 址 就 是 
239.1.1.1， 而 期 望 接 收 这 个 内 容 的 主机 请 求 加 入 这 个 组 。IGMP (Intemet Group Management 
Protocol) 协议 用 于 支持 接收 者 加 入 或 离开 组 播 组 。 一 旦 有 接收 者 加 入 了 一 个 组 ， 就 要 为 这 个 组 
在 网 络 中 构建 一 个 组 播 分 布 树 。 用 于 生成 和 维护 组 播 树 的 协议 有 许多 种 , 例如 独立 组 播 协议 PIM 
(Protocol Independent Multicast) 等 。 

在 人 P 组 播 模 式 下 ， 组 播 源 无 须知 道 所 有 的 组 成 员 ， 组 播 树 的 构建 是 由 接收 者 驱动 的 ， 是 
由 最 接近 接收 者 的 网 络 节点 完成 的 ， 这 样 建立 的 组 播 树 可 以 扩展 到 很 大 的 范围 。 有 人 形容 全 
组 播 模型 是 : 你 在 一 端 注入 分 组 ， 网 络 正好 可 以 把 分 组 提交 给 任何 需要 的 接收 者 。 

组 播 成 员 可 以 来 自 不 同 的 物理 网 络 。 组 播 技术 的 有 效 性 在 于 ,在 把 一 个 组 播 分 组 提交 给 所 
有 组 播 成 员 时 ， 只 有 与 该 组 有 关 的 中 间 节 点 可 以 复制 分 组 ， 在 通 往 各 个 组 成 员 的 网 络 链 路 上 只 
传送 分 组 一 个 副本 。 所 以 利用 组 播 技 术 可 以 提高 网 络 传输 的 效率 ， 减 少 主干 网 拥塞 的 可 能 性 。 
实现 全 组 播 的 前 提 是 组 播 源 和 组 成 员 之 间 的 下 层 网 络 必须 支持 组 播 ， 包 括 下 面 的 支持 功能 
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。 ”主机 的 TCP/IP 实现 支持 他 组 播 。 

。 ”主机 的 网 络 接 口 支持 组 播 。 

。 ”需要 一 个 组 管理 协议 ， 使 得 主机 能 够 自由 地 加 入 或 离开 组 播 组 。 

。 ”全 地 址 分 配 策略 能 够 将 第 三 层 组 播 地 址 映射 到 第 二 层 MAC 地 址 。 

。 ”主机 中 的 应 用 软件 应 支持 亿 组 播 功能 。 

。 ”所 有 介 于 组 播 源 和 组 成 员 之 间 的 中 间 节 点 都 支持 组 播 路 由 协议 。 

卫 组 播 技术 已 经 得 到 了 软 /硬件 厂商 的 广泛 支持 ， 现 在 生产 的 以 太 网 卡 、 路 由 器 、 常 用 的 
网 络 操作 系统 等 都 支持 人 P 组 播 功能 。 对 于 网 络 中 不 支持 人 P 组 播 的 老式 路 由 器 可 以 采用 IP 隧道 
技术 作为 过 渡 的 方案 。 
6.9.2 组 播 地 址 

1. IP 组 播 地 址 的 分 类 


IPv4 的 D 类 地 址 是 组 播 地 址 ， 用 作 一 个 组 的 标识 符 ， 其 地 址 范围 是 224.0.0.0 一 
239.255.255.255。 按 照 约定 ，D 类 地 址 被 划分 为 3 类 。 

。 224.0.0.0 一 224.0.0.255: 保留 地 址 ， 用 于 路 由 协议 或 其 他 下 层 拓 扑 发 现 协议 以 及 维护 
管理 协议 等 ， 例 如 224.0.0.1 代表 本 地 子 网 中 的 所 有 主机 ，224.0.0.2 代表 本 地 子 网 中 
的 所 有 路 由 器 ，224.0.0.5 代表 所 有 OSPF 路 由 器 ，224.0.0.5 代表 所 有 RIP 2 路 由 器 ， 
224.0.0.12 代表 DHCP 服务 器 或 中 继 代理 ，224.0.0.13 代表 所 有 支持 PIM 的 路 由 器 等 。 

。 ”224.0.1.0 一 238.255.255.255: 用 于 全 球 范围 的 组 播 地 址 分 配 ， 可 以 把 这 个 范围 的 D 类 
地 址 动态 地 分 配给 一 个 组 播 组 ， 当 一 个 组 播 会 话 停止 时 ， 其 地 址 被 收回 ， 以 后 还 可 以 
分 配给 新 出 现 的 组 播 组 。 

。 239.0.0.0 一 239.255.255.255: 在 管理 权限 范围 内 使 用 的 组 播 地 址 ， 限 制 了 组 播 的 范围 ， 
可 以 在 本 地 子 网 中 作为 组 播 地 址 使 用 。 


2. 以 太 网 组 播 地 址 


通常 有 两 种 组 播 地址 ， 一 种 是 卫 组 播 地 址 ， 另 一 种 是 以 太 网 组 播 地 址 。 人 P 组 播 地 址 在 互 
联网 中 标识 一 个 组 , 把 他 组 播 数据 报 封装 到 以 太 帧 中 时 要 把 下 组 播 地 址 映像 到 以 太 网 的 MAC 
地 址 ， 其 映像 方式 是 把 四 地 址 的 低 23 位 复制 到 MAC 地 址 的 低 23 位 ， 如 图 6-45 所 示 。 

为 了 避免 使 用 ARP 协议 进行 地 址 分 解 , IANA 保留 了 一 个 以 太 网 地 址 块 0x0100.5E00.0000 
用 于 映像 下 组 播 地 址 ， 其 中 第 1 个 字 节 的 最 低位 是 IJG (IndividualGroup)， 应 设置 为 “1”， 以 
表示 以 太 网 组 播 ， 所 以 MAC 组 播 地址 的 范围 是 0x010 0.SE00.0000 一 0x0100.5SE7FFFFF。 
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一 一 组 地 址 中 的 5 位 被 忽略 


把 组 地 址 的 低 23 位 
复制 到 以 太 网 地 址 中 


0 1 0 0 5 E 


48 位 以 太 网 地 址 
第 1 个 字 节 中 的 最 低位 置 1 表示 组 播 


图 6-45 组 播 地 址 与 MAC 地 址 的 映像 


按照 这 种 地 址 映像 方式 ，IP 地 址 的 5 位 被 忽略 ， 因 而 造成 了 32 个 不 同 的 组 播 地 址 对 应 于 
同一 个 MAC 地 址 ， 产 生地 址 重 达 现象 。 例 如 ， 考 虑 表 6-9 所 示 的 两 个 D 类 地 址 ， 由 于 最 后 的 
23 位 是 相同 的 ， 所 以 会 被 映像 为 同一 个 MAC 地 址 0x0100.5E1A.0A05。 


表 6-9 组 播 地 址 重合 的 例 
十 进 制 表 示 二 进 制 表 示 十 六 进 制 表示 
224. 26.10.5 11100000.00011010.00001010.00000101 Ox E0.1A.0A.05 
236.154.10.5 11101100.10011010.00001010.00000101 Ox EC.9A.0A.05 


虽然 从 数学 上 说 ， 可 能 有 32 个 ?组 播 地 址 会 产生 重合 ， 但 是 在 现实 中 却 是 很 少 发 生 的 。 
即使 不 幸 出 现 了 地 址 重 车 情况 ， 其 影响 就 是 有 的 站 收 到 了 不 期 望 接收 的 组 播 分 组 ， 这 比 所 有 站 
都 收 到 了 组 播 分 组 的 情况 要 好 得 多 。 在 设计 组 播 系统 时 要 尽量 避免 多 个 人 P 组 播 地 址 对 应 同一 个 
MAC 地 址 的 情况 出 现 ， 同 时 ， 用 户 在 收 到 组 播 以 太 帧 时 ， 要 通过 软件 检查 下 源 地 址 字段 ， 以 
确定 是 否 为 期 望 接收 的 组 播 源 的 地 址 。 


6.9.3 ”因特网 组 管理 协议 
IGMP (Intemet Group Management Protocol) 是 在 IPv4 环境 中 提供 组 管理 的 协议 ， 参 加 组 


播 的 主机 和 路 由 器 利用 IGMP 交换 组 播 成 员 资格 信息 ， 以 支持 主机 加 入 或 离开 组 播 组 。 在 IPv6 
环境 中 ， 组 管理 协议 已 经 合并 到 ICMPv6 协议 中 ， 不 再 需要 单独 的 组 管理 协议 。 


1. IGMP 报 文 


RFC 3376 定义 了 IGMPv3 成 员 资格 询问 和 报告 报 文 ， 也 定义 了 组 记录 的 格式 ， 如 图 6-46 
所 示 。IGMP 报 文 封 装 在 卫 数据 报 中 传输 。 
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类 型 ”| 最 大 响应 时 间 校 验 和 
组 地 址 (D 类 IPv4 地 址 ) 
保 贸 [SRRV QQIC 源 地 址 数 
源 地 址 路 
源 地 址 回 
1 


源 地 址 [N] 
(a) 成 员 资 格 询问 报 文 
类 型 保留 校 验 和 
保留 组 记录 数 
组 记录 叫 
组 记录 器 ] 


组 记录 IM] 
(Cb) 成 员 资格 报告 报 文 


记录 类 型 | 辅助 数据 长 度 源 地 址 数 
组 播 地 址 
源 地 址 中 


源 地址 回 


源 地 址 N] 
辅助 数据 


(c) 组 记录 
图 6-46 IGMPv3 报 文 


成 员 资格 询问 报 文 由 组 播 路 由 器 发 出 ， 分 为 3 种 子 类 型 。 

。 ”通用 询问 : 路 由 器 用 于 了 解 在 它 连 接 的 网 络 上 有 哪些 组 的 成 员 。 

。 ”组 专用 询问 : 路 由 器 用 于 了 解 在 它 连 接 的 网 络 上 一 个 具体 的 组 是 否 有 成 员 。 

。 ”组 和 源 专用 询问 : 路 由 器 用 于 了 解 它 所 连接 的 主机 是 否 愿意 加 入 一 个 特定 的 组 。 
对 成 员 资格 询问 报 文中 的 字段 解释 如 下 。 
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类 型 : 说 明报 文 的 类 型 。 

0x11: 成 员 资格 询问 。 

0x12: 第 一 版 的 成 员 资格 报告 。 

0x16: 第 二 版 的 成 员 资格 报告 。 

0x17: 组 离开 报告 。 

> 0x22: 第 三 版 的 成 员 资格 报告 。 

最 大 响应 时 间 : 说 明 对 询问 报 文 的 响应 时 间 的 最 大 值 ， 单 位 是 1/10s。 

组 地 址 : 对 于 通用 询问 ， 这 个 字段 为 0， 对 于 另外 两 种 询问 ， 这 个 字段 是 一 个 组 地 址 。 
S 标志 : 置 1 时 表示 “抑制 路 由 器 ”(Suppress Router)， 即 禁止 接收 询问 的 组 播 路 由 
器 在 监听 询问 期 间 进行 正常 的 定时 器 更 新 。 

QRV (Querier's Robustness Variable): 健壮 性 变量 RV 表示 一 个 主机 应 该 重 发 多 少 次 
报告 报 文 ， 才 能 保证 不 被 它 所 连接 的 任何 组 播 路 由 器 忽略 。 如 果 这 个 字段 非 0， 则 包 
含 了 询问 报 文 发 送 者 使 用 的 RV 值 。 路 由 器 通常 把 最 近 接 收 到 的 询问 报 文中 的 RV 值 
作为 自己 的 RV 值 ， 除 非 最 近 接 收 到 的 RV 值 是 0， 在 后 一 种 情况 下 ， 接 收 者 使 用 默 
认 的 RV 值 或 者 静态 配置 的 RV 值 。 

QQIC (Querier’s Querier Interval Code): 询问 间隔 QI 表示 发 送 组 播 询问 的 定时 间隔 。 
不 是 当前 询问 报 文 发 送 者 的 组 播 路 由 器 要 采用 最 近 接 收 到 的 询问 报 文中 的 QI 值 作 
为 自己 的 QI 值 ， 除 非 最 近 接 收 到 的 QI 值 是 0， 在 后 一 种 情况 下 ， 接 收 者 使 用 默认 的 
QI 值 。 

源 地 址 数 : 说 明 有 多 少 个 源 地 址 出 现在 该 报 文 中 ， 仅 用 于 源 和 组 专用 的 询问 ， 在 其 他 
询问 报 文 中 这 个 字段 为 0。 

源 地 址 : 如果 源 地 址 数字 段 为 N， 则 有 个 32 位 的 正 单 播 地 址 ， 这 些 组 播 源 指向 同 
一 个 组 播 组 。 


本 Ww 


对 成 员 资格 报告 报 文中 的 字段 解释 如 下 。 


类 型 如 上 面 的 解释 。 
组 记录 数 : 说 明 有 多 少 个 组 记录 出 现在 该 报告 报 文中 。 
组 记录 : 说 明 属 于 一 个 组 的 成 员 的 信息 。 


对 组 记录 的 格式 解释 如 下 。 


记录 类 型 : 组 记录 分 为 以 下 几 种 类 型 。 

> 当前 状态 记录 (Current-State Record): 由 主机 发 送 ， 以 响应 当前 接收 到 的 询问 报 
文 ， 说 明 接口 当前 的 接收 状态 ， 可 能 有 MODE IS INCLUDE (表示 接受 ) 和 
MODE IS_ EXCLUDE 〈 表 示 排 除 ) 两 种 状态 。 
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> 过 滤 模 式 改 变 记 录 (Filter-Mode-Change Record): 表示 过 滤 模 式 由 INCLUDE 改 
变 到 EXCLUDE， 或 者 由 EXCLUDE 改变 到 INCLUDE。 
> 源 列 表 改 变 记录 (Source-List-Change Record): 表示 增加 新 的 源 列表 (ALLOW _ 
NEW_SOURCES) 或 排除 老 的 源 列表 (BLOCK OLD _ SOURCES )。 
。 ”辅助 数据 长 度 ， 用 32 位 的 字 的 个 数 来 表示 辅助 数据 的 长 度 。 
。 ， 源 地 址 数 : 源 地 址 的 个 数 。 
。 ”组 播 地 址 : 该 报告 所 属 的 组 播 组 的 地 址 。 
。 ， 源 地 址 : 如 果 源 地 址 数 是 N， 则 及 个 32 位 的 下 单 播 地 址 。 
。 ”辅助 数据 : 属于 当前 记录 的 附加 数据 ， 目 前 还 没有 定义 辅助 数据 的 值 。 


2. IGMP 操作 


参加 组 播 的 主机 要 使 本 地 LAN 中 的 所 有 主机 和 路 由 器 都 知道 它 是 某 个 组 的 成 员 。 在 
IGMPv3 中 引入 了 主机 过 滤 能 力 ， 主 机 可 以 利用 这 种 方式 通知 网 络 ， 它 期 望 接收 某 些 特殊 的 源 
发 送 的 分 组 (INCLUDE 模式 ), 或 者 它 期 望 接收 除 某 些 特殊 的 源 之 外 的 所 有 其 他 源 发 出 的 分 组 
(EXCLUDE 模式 )。 为 了 加 入 一 个 组 ,主机 要 发 送 成 员 资 格 报告 报 文 , 其 中 的 组 播 地 址 字段 包 
含 了 它 要 加 入 的 组 地 址 , 封装 这 个 IGMP 报 文 的 下 数据 报 的 目标 地 址 字段 也 使 用 同样 的 组 地 址 。 
于 是 ， 这 个 组 的 所 有 成 员 主机 都 会 接收 到 这 个 分 组 ， 从 而 都 知道 了 新 加 入 的 组 成 员 。 本 地 LAN 
中 的 路 由 器 必须 监听 所 有 的 下 组 播 地 址 ， 以 便 接 收 所 有 组 成 员 的 报告 报 文 。 

为 了 维护 一 个 当前 活动 的 组 播 地 址 列表 ,组 播 路 由 器 要 周期 性 地 发 送 IGMP 通用 询问 报 文 ， 
封装 在 以 224.0.0.1 (所 有 主机 ) 为 目标 地 址 的 中 数据 报 中 。 仍然 希 望 保 持 一 个 或 多 个 组 成 员 身 
份 的 主机 必须 读 取 这 种 数据 报 ， 并 且 对 其 保持 成 员 身 份 的 组 回答 一 个 报告 报 文 。 

在 以 上 描述 的 过 程 中 ， 组 播 路 由 器 无 须知 道 组 播 组 中 的 每 一 个 主机 的 地 址 ， 对 于 一 个 组 播 
组 ， 它 只 需要 知道 至 少 有 一 个 组 播 成 员 处 于 活动 状态 就 可 以 了 ， 因 而 ， 接 收 到 询问 报 文 的 每 个 
组 成 员 可 以 设置 一 个 具有 随机 时 延 的 计时 器 ， 任 何 主机 在 了 解 到 本 组 中 已 经 有 其 他 主机 声明 了 
成 员 身份 后 将 不 再 做 出 响应 。 如 果 没 有 看 到 其 他 主机 的 报告 ， 并 且 计 时 器 已 经 超时 ， 则 这 个 
主机 要 发 出 一 个 报告 报 文 。 利 用 这 种 机 制 ， 每 个 组 只 有 一 个 成 员 对 组 播 路 由 器 的 询问 返回 报告 
报 文 。 

当主 机 要 离开 一 个 组 时 ， 它 向 所 有 路 由 器 〈224.0.0.2) 发 送 一 个 组 离开 报告 ， 其 中 的 记录 
类 型 为 EXCLUDE,， 源 地 址 列表 为 空 ， 其 含义 是 该 组 所 有 的 组 播 源 都 被 排除 。 图 6-47 表示 主机 
要 离开 组 239.1.1.1。 当 一 个 路 由 器 收 到 这 样 的 报告 时 ， 它 要 确定 该 组 是 否 还 有 其 他 成 员 存在 ， 
这 时 可 以 利用 组 和 源 专 用 的 询问 报 文 。 
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组 离开 报告 


一 个 组 记录 { 


Ox17 | 保留 校 验 和 | 
保留 组 记录 数 -1 | 
i 了 类 型 -Exctu 可 辅助 数据 长 度 -0 源 地 址 数 -0 | 
组 播 地 址 =239.1.1.1 | 
源 地 址 列表 为 空 


图 6-47 组 离开 报告 距离 


一 个 支持 组 播 的 主机 可 能 不 是 任何 组 的 成 员 , 也 可 能 已 经 加 入 了 某 个 组 , 成 为 该 组 的 成 员 。 
当主 机 加 入 了 一 个 组 后 ， 它 可 能 处 于 活动 状态 ， 或 处 于 闲置 状态 ， 这 两 个 状态 之 间 的 区 别 为 是 
否 运 行 该 组 的 报告 延迟 计时 器 。 主 机 的 状态 转换 如 图 6-48 所 示 。 


延迟 成 员 
(Delaying Member) 


6.9.4 组 播 路 由 协议 


| 空闲 成 员 
收 到 询问 ， 开 始 计时 (Idle Member) 


收 到 报告 ， 停 止 计时 


定时 器 超时 ， 发 送 报告 


图 6-48 组 播 主机 的 状态 转换 图 


建立 组 播 树 是 实现 组 播 传输 的 关键 技术 , 图 6-49 (a) 所 示 为 一 个 网 络 的 实际 配置 , 图 6-49 
Cb) 所 示 为 利用 组 播 路 由 协议 生成 的 组 播 树 ， 这 是 以 组 播 源 为 树 根 的 最 小 生成 树 (Spanning 
Tree), 沿 着 这 个 树 从 根 到 叶 的 方向 可 以 把 组 播 分 组 传输 到 所 有 的 组 成 员 用 户 ， 且 分 组 在 每 段 链 


路 上 只 出 现 一 次 。 
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IRA 
天 工 2 
RD 13 RB 
NI1 N3 
L4 L5 
RC 口 
组 播 服务 器 员 
RE RF 
NS i 
员 组 
(a) 网 络 配 置 
RD RB 
Bid L3 
N1 N3 
、 
RC 
组 播 服务 器 组 成 员 
~ 
RE 几 RE 
N5 N6 
组 成 员 组 成 员 
(b) 对 应 的 组 播 树 
图 6-49 组 播 树 举例 


1. 组 播 树 


建立 组 播 树 要 使 用 组 播 路 由 协议 。 下 面 讲 述 的 路 由 协议 属于 组 播 内 部 网 关 协议 (MIGP)， 
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已 经 提出 了 多 种 MIGP 的 建议 , 包括 DVMRP、MOSPF、CBT、PIM-DM 和 PIM-SM 等 。 目 前 ， 
组 播 外 部 网 关 协 议 (MEGP) 还 在 研发 之 中 ， 尚 没有 具体 的 应 用 。 

组 播 地 址 标识 一 个 会 话 ， 而 不 是 一 个 具体 的 主机 。 组 播 路 由 器 应 该 互相 交换 有 关 组 播 会 话 

的 信息 ， 使 得 各 个 路 由 器 了 解 组 播 成 员 的 分 布 情况 。 对 于 一 个 具体 的 组 播 会 话 ， 即 使 路 由 器 没 
有 任何 成 员 ， 它 也 可 能 需要 知道 哪些 路 由 器 连接 着 该 会 话 的 成 员 。 如 果 路 由 器 加 入 了 组 播 树 ， 
那么 它 就 应 该 知道 ， 在 它 的 哪个 端口 上 存在 哪个 组 的 成 员 ， 并 为 之 生成 相应 的 组 播 分 支 。 当 一 
个 组 成 员 加 入 或 离开 组 播 会 话 时 ， 要 对 组 播 分 支 进行 嫁 接 或 修剪 。 
组 播 树 分 为 两 种 。 所 谓 的 源 专用 树 (Source-Specific Tree) 是 以 每 一 个 组 播 源 为 根 建立 最 
小 生成 树 ，PIM 协议 把 这 种 树 叫 作 最 短 通路 树 (Shortest Path Tree，SPT)。 在 组 播 树 中 使 用 了 
一 种 称 为 反 向 通路 转发 (Reverse Path Forwarding，RPF) 的 技术 来 防止 组 播 分 组 在 网 络 中 循环 
转发 。 按 照 RPF 规则 ， 在 接收 到 由 源 S 向 组 G 发 送 的 组 播报 文 后 ， 路 由 器 必须 〈 利 用 单 播 路 
由 表 ) 对 分 组 到 达 的 链 路 进行 判断 ， 如 果 分 组 到 达 的 链 路 是 通 向 组 播 源 的 最 短 通路 〈 称 为 RPF 
通路 )， 则 这 个 分 组 被 转发 到 属于 分 布 树 的 其 他 端口 ; 如 果 分 组 到 达 的 链 路 不 是 通 向 源 的 最 短 
通路 ， 则 这 样 的 分 组 被 抛弃 。 

另外 一 种 组 播 树 是 共享 分 布 树 。 该 方案 利用 了 由 《一 个 或 多 个 ) 路 由 器 组 成 的 分 布 中 心 来 
生成 一 棵 组 播 树 , 由 这 棵 树 负 责 所 有 组 播 组 的 通信 。 PIM 协议 称 这 种 树 为 约会 点 树 (Rendezvous 
Point Tree，RPT)， 意 为 无 论 哪个 组 播 源 发 送 的 数据 ， 都 先 要 约会 到 这 一 点 ， 然 后 再 沿 着 共享 
分 布 树 流向 各 个 接收 者 ， 需 要 接收 组 播 通信 流 的 主机 都 必须 加 入 共享 分 布 树 。 

组 播 通信 的 固有 特性 就 是 贪 禁地 消耗 带宽 ,所 以 需要 限制 组 播 树 的 扩展 范围 。 可 以 利用 卫 
数据 报头 中 的 TIL 字段 来 限制 组 播 树 生 长 的 高 度 ， 路 由 器 只 转发 其 TIL 字段 大 于 端口 配置 的 
TTIL 门限 的 组 播 数据 报 。 另 外 一 种 限制 组 播 会 话 扩展 范围 的 方法 是 使 用 特殊 的 组 播 地 址 ， 例 如 
RFC 2365 建 议 ， 地 址 块 239.255.0.0/16 用 于 本 地 网 络 ， 地 址 块 239.192.0.0/14 用 于 组 织 管 理 的 范 
围 等 。 


2 密集 模式 路 由 协议 


密集 模式 路 由 协议 (Dense Mode Routing Protocols) 假定 组 播 成 员 密集 地 分 布 在 整个 网 络 
中 ， 而 且 网 络 有 足够 的 带宽 ， 允 许 周期 性 地 通过 泛 洪 传播 来 建立 和 维护 分 布 树 。 典 型 的 密集 环 
境 是 局 域 网 ， 这 种 网 络 中 有 大 量 的 组 播客 户 机 ， 需 要 经 常 地 接收 组 播 信息 。 密 集 模式 路 由 协议 
向 局 域 网 中 到 处 发 布 分 组 ， 除 非 被 告知 不 能 再 向 前 转发 ， 然 后 修剪 掉 不 存在 组 成 员 的 部 分 。 密 
集 模式 路 由 协议 包括 距离 矢量 组 播 路 由 协议 (Distance Vector Multicast Routing Protocol， 
DVMRP)、 组 播 开放 最 短路 径 优先 协议 (Multicast Open Shortest Path First，MOSPF)， 以 及 密 
集 模式 的 独立 组 播 协 议 (Protocol Independent Multicast-Dense Mode，PIM-DM) 等 。 

PIM 引入 了 协议 无 关 的 概念 ， 它 可 以 使 用 任何 单 播 路 由 协议 (OSPF、IS-IS、BGP) 建 立 
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的 路 由 表 来 实现 反 向 通路 转发 (RPF) 检查 ， 这 是 它 与 其 他 组 播 路 由 协议 的 主要 区 别 。 

RFC 3973 建议 ， 为 了 保证 PIM-DM 协议 正常 工作 ， 每 一 个 PIM-DM 路 由 器 都 要 维护 一 个 
树 信息 库 〈Tree Informmation Base，TIB)， 其 中 保存 着 各 个 组 播 树 的 工作 状态 ， 利 用 这 些 状态 可 
以 建立 一 个 组 播 转发 表 ， 以 实现 组 播 数据 报 的 正确 转发 。 

组 播 转发 表 以 地 址 对 〈S，G) 作为 索引 ， 其 中 ，S 表示 组 播 源 的 单 播 地 址 ，G 表示 组 播 会 
话 的 D 类 地 址 。 每 一 个 表 项 还 包含 与 (S，G) 相关 的 定时 器 以 及 路 由 和 状态 信息 。 一 旦 定时 
器 超时 ， 其 他 信息 也 会 被 丢弃 。 

为 了 说 明 PIM-DM 协议 的 工作 过 程 ， 在 此 用 图 6-50 所 示 的 数据 结构 表示 组 播 转发 表 中 的 
有 关 信 息 。 对 于 一 个 组 播 组 (S，G)， 路 由 器 从 输入 端口 (Incoming Interface) 接收 流量 ， 向 通 
向 目标 的 输出 端口 转发 流量 , 各 个 输出 端口 组 成 一 个 输出 端口 表 (Outgoing Interface List, OIL)。 
当 组 播 会 话 开 始 和 结束 时 ， 组 播 树 会 动态 地 改变 ， 组 播 转发 表 项 也 要 随 之 改变 。 


( 源 地 址 S, 组 地 址 G) Incoming Interface | Outgoing Interface List 


(192.168.1.1, 239.1.1.1) P1/0/0 P1/0/1, P1/0/3 
(192.168.1.2, 239.1.1.2) P2/1/0 P2/1/1, P2/1/4, P2/1/5 


图 6-50 组 播 转发 表 


当 路 由 器 收 到 由 源 S 向 组 播 组 G 发 送 的 组 播 分 组 后 ， 首 先 查 找 组 播 转发 表 : 
。 ”如 果 存 在 对 应 的 “S，G) 表 项 ， 且 分 组 到 达 的 端口 与 mcoming Interface 一 致 ， 则 向 
OIL 中 的 所 有 端口 转发 分 组 。 
。 ”如果 存在 对 应 的 《S，G) 表 项 ， 但 分 组 到 达 的 端口 与 Incoming Interface 不 一 致 ， 则 
对 此 分 组 进行 RPF 检查 。 如 果 检 查 通过 ， 则 将 Incoming Interface 修改 为 分 组 到 达 的 
端口 ， 然 后 向 OIL 中 的 所 有 端口 转发 分 组 。 
。 ”如 果 不 存在 对 应 的 (S，G) 表 项 ， 则 对 分 组 进行 RPF 检查 。 如 果 检 查 通过 ， 则 向 除 
分 组 到 达 端 口 之 外 的 所 有 其 他 端口 进行 转发 ， 并 创建 相应 的 “S，G) 表 项 ， 否 则 丢 
弃 分 组 。 
构建 最 短 通路 树 的 过 程 是 反复 泛 洪 一 修剪 的 过 程 。 当 组 播 源 S 开始 向 组 播 组 G 发 送 数据 
时 ， 组 播 分 组 被 泛 洪 到 网 络 中 的 所 有 区 域 。 这 时 ， 当 一 个 路 由 器 接收 到 组 播 数据 报 后 ， 首 先 通 
过 单 播 路 由 表 进 行 RPF 检查 : 
。 ”如 果 RPF 检查 通过 ， 则 创建 一 个 (S，G) 表 项 ， 然 后 将 数据 向 所 有 下 游 的 PIM-DM 
路 由 器 转发 ， 这 个 过 程 称 为 泛 洪 〈Flooding); 如 果 RPF 检查 未 通过 ， 则 将 报 文 丢弃 。 
这 一 过 程 继续 下 去 ， 所 有 的 PIM-DM 路 由 器 的 各 个 端口 上 都 会 创建 0S，G) 表 项 。 
。 ”如 果 下 游 节点 没有 组 播 成 员 ， 则 向 上 游 节点 发 送 修剪 消息 (Prune)。 上 游 节点 收 到 修 
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剪 消息 后 ， 相 应 端口 的 表 项 (S，G) 就 转 入 “剪断 ”状态 。 修 剪 过 程 持续 到 PIM-DM 
中 仅 剩 下 必要 的 分 支 ， 这 样 就 建立 了 一 棵 以 组 播 源 S 为 根 的 最 短 通 路 树 SPT。 

。 ” 当 一 个 组 播 分 支 处 于 “剪断 ”状态 时 ， 它 不 再 向 下 游 节点 转发 组 播 分 组 ， 但 这 种 状态 
是 有 一 定 生命 周期 的 ， 生 命 周 期 超时 后 ， 数 据 又 沿 着 被 剪 掉 的 分 支 向 下 转发 。 这 种 机 
制 使 得 在 路 由 器 端口 中 反复 建立 和 删除 (S，G) 表 项 。 

。 当 新 的 组 播 用 户 出 现在 一 个 被 剪断 的 区 域 时, 该 用 户 通过 IGMP 报 文 申请 加 入 组 播 组 
G， 与 新 成 员 最 接近 的 路 由 器 向 上 游 节点 发 送 嫁接 消息 〈Graft)， 这 个 消息 逐 跳 向 组 
播 源 S 方向 传递 ， 沿 途 的 中 间 节 点 给 出 的 响应 就 是 恢复 先前 被 剪断 的 分 支 到 “转发 ” 

首先 是 广播 数据 报 ， 然 后 剪 掉 不 需要 的 分 支 ， 这 一 过 程 被 称 为 泛 洪 一 修剪 循环 ， 这 是 所 有 

密集 模式 协议 中 使 用 的 关键 技术 。 


3， 稀 琉 模式 路 由 协议 


稀 疏 模式 路 由 协议 (Sparse Mode Routing Protocols) 适用 于 带宽 小 、 组 播 成 员 分 布 稀疏 的 
互联 网 络 。 在 这 种 网 络 中 , 泛 洪 传输 会 引起 网 络 阻塞 , 所 以 要 使 用 其 他 技术 来 建立 组 播 树 。 CBT 
(Core-Based Trees) 协议 建立 了 一 棵 为 所 有 组 播 会 话 服务 的 组 播 树 ， 而 稀 疏 模式 的 独立 组 播 协 
议 PIM-SM (Protocol Independent Multicast Sparse Mode) 既 可 以 为 每 个 组 播 组 建立 一 个 以 约会 
点 为 树 根 的 共享 树 ， 也 可 以 为 每 个 组 播 源 建立 一 棵 最 短 通路 树 。 

PIM-SM (RFC 4601) 支持 由 接收 者 申请 组 成 员 关 系 的 传统 的 瑟 组 播 模型 ， 其 工作 机 制 的 
要 点 简单 介绍 如 下 。 

(1) 邻居 发 现 : 各 路 由 器 之 间 互 相 发 送 Hello 消息 以 实现 邻居 发 现 ， 这 一 点 与 PIM-DM 
相同 。 

(2) 选举 DR: 通过 Hello 消息 可 以 为 共享 网 络 〈 例 如 Ethernet〉 选 出 一 个 指定 路 由 器 
(Designated Router，DR)。 无 论 是 组 播 源 S 所 在 的 网 络 ， 还 是 与 接收 者 连接 的 网 络 ， 只 要 网 络 
为 共享 介质 ， 则 需要 选举 DR。 分 布 式 选 举 算法 按照 Hello 消息 携带 的 优先 级 最 高 或 IP 地 址 最 
大 来 确定 DR。 

DR 是 本 地 网 段 中 唯一 的 组 播 信息 转发 者 , 接收 者 一 侧 的 DR 向 约会 点 (Rendezvous Point， 
RP) 发 送 加 入 消息 (Join); 源 侧 的 DR 向 RP 发 送 注 册 消 息 (Register)。 

(3) 约会 点 发 现 : 约会 点 通常 是 PIM-SM 区 域 中 的 核心 路 由 器 。 在 小 型 网 络 中 ， 组 播 信息 
量 少 , 全 网 络 只 需要 一 个 RP 就 行 了 ， 这 时 可 以 在 SM 区 域内 各 路 由 器 中 静态 指定 RP。 但 更 多 
的 情况 是 PIM-SM 网 络 规模 很 大 ,通过 RP 转发 的 组 播 信息 量 巨大 ,为 了 缓解 RP 的 通信 和 负担， 
不 同 组 播 组 应 对 应 不 同 的 RP， 这 时 要 通过 自 举 机 制 动 态 选 出 RP。 
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(4) 约会 点 树 的 生成 和 维护 : 如 果 接 收 者 要 加 入 一 个 组 播 组 G， 则 通过 IGMP 报 文通 知 与 
其 直接 相连 的 叶子 路 由 器 。 叶 子路 由 器 掌握 组 播 组 G 的 成 员 信息 ， 它 会 朝 着 RP 方向 往 上 游 节 
点 发 送 加 入 消息 Join。 从 叶子 路 由 器 到 RP 之 间 经 过 的 每 个 路 由 器 都 在 转发 表 中 生成 (*，G) 
表 项 ， 其 中 ，* 表 示 任 意 源 地 址 ， 这 些 路 由 器 就 形成 了 共享 分 布 树 RPT (Rendezvous Point Tree) 
的 一 个 分 支 。RPT 以 RP 为 根 节点 ， 以 接收 者 为 叶子 节点 ， 当 组 播 源 S 发 来 的 G 组 报 文 到 达 
RP 时 ， 就 会 沿 着 RPT 树 传送 到 叶子 路 由 器 ， 进 而 到 达 接 收 者 。 

当 某 个 接收 者 退出 组 播 组 G 时 , 接收 者 一 侧 的 DR 会 沿 着 RPT 树 朝 着 RP 方向 发 送 修剪 消 
息 Prune。 上 游 路 由 器 接收 到 该 修剪 消息 后 ， 在 其 输出 端口 列表 中 删除 连接 下 游 路 由 器 的 端口 ， 
并 检查 其 他 端口 的 下 游 节点 是 否 还 存在 G 组 的 成 员 ， 如 果 没有 则 继续 向 上 游 转发 修剪 消息 。 

(5) 组 播 源 注册 : 为 了 向 RP 通知 组 播 源 S 的 存在 ， 当 组 播 源 S 向 组 播 组 G 发 送 第 一 个 组 
播 分 组 时 ， 与 组 播 源 S 直接 相连 的 路 由 器 就 将 该 报 文 封装 成 注册 报 文 Register， 并 单 播 给 对 应 
的 RP。RP 接收 到 来 自 组 播 源 S 的 注册 消息 后 ， 一 方面 将 组 播 分 组 沿 着 RPT 树 转发 到 接收 者 
另 一 方面 朝 着 组 播 源 $ 方向 逐 跳 转发 (S，G) 加 入 消息 Jion， 从 而 使 得 RP 和 S 之 间 的 所 有 路 
由 器 都 生成 了 〈S，G) 表 项 ， 这 些 经 过 的 路 由 器 就 形成 了 SPT 树 的 一 个 分 支 。 源 SPT 树 以 组 
播 源 S 为 根 ， 以 RP 为 目的 地 。 

组 播 源 S 发 出 的 组 播 分 组 沿 着 已 经 建 好 的 SPT 树 到 达 RP 后 ， 由 RP 将 分 组 沿 着 RPT 共享 
树 进 行 转发 。 同 时 ，RP 向 组 播 源 直 连 的 路 由 器 单 播发 送 注册 停止 报 文 ， 注 册 过 程 结束 。 

(6) RPT 向 SPT 的 切换 : 在 一 个 RPT 树 中 ， 当 接近 组 播 用 户 的 “最 后 一 跳 路 由 器 ”发 现 
组 播 组 G 的 报 文 速率 达到 一 定 的 阔 值 时 ,就 通过 单 播 路 由 表 找 到 通 向 源 S 的 下 一 跳 路 由 器 ， 向 
其 发 送 (S，G) 加 入 消息 ， 这 个 消息 经 过 一 串 路 由 器 到 达 离 组 播 源 S 最 近 的 路 由 器 ， 沿 途 各 个 
路 由 器 都 建立 了 〈S，G) 表 项 ， 从 而 形成 了 SPT 树 的 一 个 分 支 。 随 后 ,“ 最 后 一 跳 路 由 器 ”向 
RP 逐 跳 发 送 修剪 消息 ,，RP 也 利用 类 似 的 过 程 剪断 与 源 S 的 联系 , 这 时 RPT 树 就 完全 切换 到 了 
SPT 树 。 通 过 这 种 方式 建立 SPT 树 ， 比 密集 模式 的 通信 开销 要 小 得 多 。 

PIM 除 有 密集 模式 和 稀疏 模式 之 外 ， 还 有 一 种 双向 PIM 协议 (Bi-directional PIM， 
BIDIR-PIM)， 这 是 密集 模式 和 稀疏 模式 的 混合 方式 。 所 有 的 PIM 协议 共享 相同 的 控制 报 文 。 
PIM 控制 报 文 封装 在 人 P 数据 报 中 传送 ， 可 以 组 播 给 所 有 的 PIM 路 由 器 ， 也 可 以 单 播 到 特殊 的 
目标 。 


6.10 ”IP QoS 技术 


因特网 提供 尽力 而 为 (BestEffort) 的 服务 ， 这 是 它 取得 巨大 成 功 的 主要 原因 之 一 。 但 是 
由 于 因特网 对 服务 质量 不 做 任何 承诺 ， 所 以 对 于 各 种 多 媒体 应 用 不 能 提供 必要 的 支持 ， 这 些 新 
业务 要 求人 P 网 络 提供 新 的 服务 方式 。 
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IETF 成 立 了 专门 的 工作 组 , 一 直 从 事 IP QoS 标准 的 开发 , 首先 是 在 1994 年 提出 了 集成 服 
务 体系 结构 (Integrated Service Architecture，ISA) (RFC 1633)， 继 而 又 在 1998 年 定义 了 区 分 
服务 (Differentiated Service，DiffServ) 技术 规范 (RFC 2475)。 另 外 ， 前 面 讲 到 的 MPLS 技术 
提供 了 显 式 路 由 功能 , 因而 增强 了 在 IP 网 络 中 实施 流量 工程 的 能 力 , 这 也 是 骨干 网 业务 中 最 容 
易 实现 的 一 种 QoS 机 制 。 


6.10.1 集成 服务 


IETF 集成 服务 (IntServ) 工作 组 根据 服务 质量 的 不 同 ， 把 Intemet 服务 分 成 了 3 种 类 型 。 
。 ”保证 质量 的 服务 (Guranteed Services): 对 带宽 、 时 延 、 拌 动 和 丢 包 率 提供 定量 的 保证 。 
。 ”控制 负载 的 服务 (Controlled-load Services): 提供 一 种 类 似 于 网 络 欠 载 情况 下 的 服务 ， 
这 是 一 种 定性 的 指标 。 
。 尽力 而 为 的 服务 (BestEffort): 这 是 Intemet 提供 的 一 般 服 务 ， 基 本 上 无 任何 质量 保证 。 
IntServ 主要 解决 的 问题 是 在 发 生 拥 塞 时 如 何 共享 可 用 的 网 络 带宽 , 为 保证 质量 的 服务 提供 
必要 的 支持 。 在 基于 IP 的 因特网 中 ， 可 用 的 拥塞 控制 和 QoS 工具 是 很 有 限 的 ， 路 由 器 只 能 采 
用 两 种 机 制 ， 即 路 由 选择 算法 和 分 组 丢弃 策略 ， 但 这 些 手段 并 不 足以 支持 保证 质量 的 服务 。 
IntServ 提议 通过 4 种 手段 来 提供 QoS 传输 机 制 。 
(1) 准 入 控制 : IntServ 对 一 个 新 的 QoS 通信 流 要 进行 资源 预约 。 如 果 网 络 中 的 路 由 器 确 
定 没有 足够 的 资源 来 保证 所 请 求 的 QoS， 则 这 个 通信 流 就 不 会 进入 网 络 。 
(2) 路 由 选择 算法 .可 以 基于 许多 不 同 的 QoS 参数 〈 而 不 仅仅 是 最 小 时 延 ) 来 进行 路 由 
选择 。 
(3) 排队 规则 : 考虑 不 同 通信 流 的 不 同 需求 而 采用 有 效 的 排队 规则 。 
(4) 丢弃 策略 : 在 缓冲 区 耗 尽 而 新 的 分 组 来 到 时 要 决定 丢弃 哪些 分 组 以 支持 QoS 传输 。 
为 了 实现 QoS 传输 ， 必 须 对 现 有 的 路 由 器 进行 改造 ， 使 其 在 传统 的 存储 一 转发 功能 之 外 ， 
还 能 够 提供 资源 预约 、 准 入 控制 、 队 列 管理 以 及 分 组 调度 等 高 级 功能 。 图 6-51 所 示 为 ISA 路 由 
器 的 基本 框图 ， 对 其 主要 部 件 解释 如 下 。 
。 ”资源 预约 协议 (Resource Reservation Protocol，RSVP): 按照 通信 流 的 QoS 需求 在 网 
络 中 传送 资源 预约 信 令 。RSVP 要 把 带宽 、 时 延 、 抖 动 和 丢 包 率 等 参数 通知 通路 上 的 
所 有 转发 设备 ， 以 便 建 立 端 到 端的 QoS 保障 。 如 果 通 信 流 的 QoS 请 求 得 到 满足 ， 则 
RSVP 还 要 更 新 路 由 器 中 的 数据 库 ， 以 便 及 时 反映 网 络 通信 资源 的 分 配 情况 。RSVP 
是 从 源 到 目标 单 向 预约 的 ， 适 用 于 点 到 点 以 及 点 到 多 点 的 通信 环境 。 
。 准 入 控制 (Admission Control): 当 一 个 新 的 通信 流 成 功 地 实现 资源 预约 后 就 进入 通信 
阶段 ， 这 时 路 由 器 要 监视 通信 流 的 行为 是 否 违 反 了 网 络 与 用 户 达成 的 合约 ， 以 决定 是 
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否 允 许 新 的 分 组 进入 网 络 。 
,| 「 资源 预约 
路 由 协议 源 信 的 | 一 | 准 入 控制 管理 代理 
-== my 
路 由 数据 库 一 | | | | 
oS 了 而 
分 类 -| Qos 队列 | 
| 路 由 选择 分 组 调度 | Brerren 隐 列 | 一 


图 6-51 首先 集成 服务 的 路 由 器 


。 ”管理 代理 ， 其 作用 是 修改 通信 控制 数据 库 ， 以 改变 准 入 控制 的 策略 。 
。 ”分 类 器 (Classifier): 根据 预 置 的 规则 对 进入 路 由 器 的 分 组 进行 分 类 。 分 类 的 标准 可 
能 是 源 地 址 、 目 标 地 址 、 上 层 协 议 类 型 、 源 端口 号 和 目标 端口 号 等 。 分 组 经 过 分 类 以 
后 进入 不 同 的 队列 等 待 调度 器 的 转发 服务 。 
。 分 组 调度 器 〈Scheduler): 其 作用 是 根据 预订 的 调度 算法 对 分 类 后 的 分 组 进行 排队 ， 
可 以 使 用 先 来 先 服务 的 算法 , 或 者 更 复杂 的 “公平 ”算法 。 例如 , WFQ (Weighted Fair 
Queueing) 算法 考虑 了 每 个 通信 流 的 分 组 数量 ， 越 忙 的 队列 分 配 越 多 的 容量 ， 而 且 不 
完全 关闭 流量 偏 少 的 队列 (如 图 6-52 所 示 ) 。 调 度 器 根据 分 组 的 类 别 、 通 信 控 制 数据 
库 的 内 容 以 及 输出 端口 的 活动 历史 选择 被 丢弃 的 分 组 ， 决 定 分 组 被 转发 的 优先 顺序 。 
尽管 IntServ 能 提供 QoS 保证 ， 但 经 过 几 年 的 研究 和 发 展 ， 其 中 的 问题 也 逐步 显现 。RSVP 
和 IntServ 在 Internet 应 用 中 还 存在 着 下 面 的 缺陷 。 
(1) IntServ 要 维护 大 量 的 状态 信息 ， 状 态 信息 数量 与 通信 流 的 数量 成 正比 ， 这 需要 在 路 由 
器 中 占用 很 大 的 存储 空间 ， 因 而 这 种 模型 不 具有 扩展 性 。 
(2) 对 路 由 器 的 要 求 很 高 ， 所 有 的 路 由 器 必须 实现 RSVP、 准 入 控制 、 通 信 流 分 类 和 分 组 
调度 等 功能 。 
(3) IntServ 服务 不 适合 于 生存 期 短 的 数据 流 ， 因 为 对 生存 期 短 的 数据 流 来 说 ， 资 源 预约 所 
占 的 开销 太 大 ， 降 低 了 网 络 利用 率 。 
(4) 许多 应 用 需要 某 种 形式 的 QoS， 但 是 无 法 使 用 IntServ 模型 来 表达 QoS 请 求 。 
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Flow 1 _ 一 一 


Flow2 一 


图 6-52 WFQ 排队 算法 


(5) 必要 的 控制 和 价格 机 制 〈 例 如 访问 控制 、 认 证 和 计 费 等 ) 正 处 于 研发 阶段 ， 目 前 还 无 
法 付 诸 实用 。 


6.10.2 ”区 分 服务 


区 分 服务 (DiffServ) 放弃 了 在 通信 流 沿 路 节点 上 进行 资源 预约 的 机 制 ， 它 将 具有 相同 特 
性 的 若干 业务 流 汇聚 起 来 ， 为 整个 汇聚 流 提 供 服务 ， 而 不 是 面向 单个 业务 流 来 提供 服务 。 
DiffServ 的 关键 技术 介绍 如 下 。 

(1) 每 个 下 分 组 都 要 根据 其 QoS 需求 打上 一 个 标记 , 这 种 标记 称 为 DS 码 点 (DS Code Point， 
DSCP)， 可 以 利用 IPv4 协议 头 中 的 服务 类 型 (Type of Service) 字段 ,或 者 IPv6 协议 头 中 的 通 
信 类 别 〈Traffic Class) 字段 来 实现 ， 这 样 就 维持 了 现 有 的 下 分 组 格式 不 变 。 

(2) 在 使 用 DiffServ 服务 之 前 , 服务 提供 者 与 用 户 之 间 先 要 建立 一 个 服务 等 级 约定 (Service 
LevelAgreement，SLA)。 这 样 ， 在 各 个 应 用 中 就 不 再 需要 类 似 的 机 制 ， 从 而 可 以 保持 现 有 的 应 
用 不 变 。 

(3) Intemet 中 能 实现 区 分 服务 的 连续 区 域 被 称 为 DS 域 (DS Domain)， 在 一 个 DS 域 中 ， 
服务 提供 策略 (Service Provisioning Policies) 和 逐 跳 行为 (PerHop Behavior，PHB ) 都 是 一 致 
的 。PHB 是 (外 部 观察 到 的 ) DS 节点 对 一 个 分 组 的 转发 行为 。 

(4) 具有 相同 DSCP 的 分 组 的 集合 称 为 行为 聚集 (Behavior Aggregate，BA)。 一 个 BA 中 
的 所 有 分 组 都 按照 同一 PHB 进行 转发 。 

(5) 通信 调节 协议 〈Traffc Conditioning Agreement，TCA) 说 明了 分 组 分 类 和 通信 调节 的 
规则 。 分 类 器 用 这 些 规则 对 分 组 进行 筛选 和 分 类 。 

(6) DiffServ 提供 了 内 在 的 通信 流 汇 聚 机 制 ，DS 域 的 边缘 路 由 器 对 输入 流 进行 分 类 ， 并 为 
每 一 类 指定 一 个 相同 的 DSCP， 同 一 类 别 的 通信 流 在 DS 域内 将 按照 相同 的 PHB 进行 转发 。 


(7) DS 域 的 内 部 路 由 器 根据 DSCP 的 值 和 设 定 的 逐 跳 行为 对 分 组 进行 调度 和 转发 。 
DS 工作 组 定义 了 DSCP 与 PHB 的 映射 关系 (如 表 6-10 所 示 )， 同 时 也 允许 因特网 服务 提 
供 商 〈ISP) 自行 定义 具有 本 地 意义 的 映射 关系 。 


表 6-10 DSCP 与 PHB 的 映射 关系 


000000 


oo01x xx | 

ol0x xx | 4 种 保证 转发 服务 的 QoS 介 于 EF 和 BE 之 间 。 可 以 为 每 一 种 AF 服务 指 
ollxxx | 定 3 种 不 同 的 丢弃 优先 级 ， 总 共 可 以 组 成 12 种 不 同 的 AF 聚集 

100X Xx AF4 

101110 ”| | EF | 绝对 保证 QoS 的 服务 


DSCP 的 值 占用 下 头 中 ToS 字段 的 前 6 位 〈 两 位 未 用 )，3 位 用 于 定义 转发 优先 级 ，3 位 用 
于 定义 丢弃 优先 级 。 如 果 6 位 全 0， 则 表示 Best-Effort 服务 ， 不 提供 任何 QoS 保障 ， 如 表 6-10 
的 第 1 行 所 示 。 

表 6-10 的 第 2 一 5 行 都 是 保证 转发 (Assured Forwarding，AF) 的 服务 。 这 类 服务 为 卫 分 
组 提供 4 种 不 同 的 转发 特征 ， 对 应 4 种 不 同 数量 的 转发 资源 〈 如 缓冲 区 和 带宽 等 )， 并 且 为 每 
个 分 组 指派 不 同 的 丢弃 优先 级 (如 表 6-11 所 示 )。AF 类 逐 跳 行为 的 共同 特点 是 允许 在 总 流量 不 
超过 预 设 速率 的 前 提 下 以 更 大 的 可 能 性 来 转发 分 组 。 


表 6-11 AF 服务 的 优先 级 


100110 


表 6-10 的 第 6 行 表示 加 速 转发 (Expedited Forwarding，EF) 服务 ,其 DSCP 值 为 101110。 
EF 提供 DS 域内 端 到 端的 QoS 保证 ， 其 特点 是 低 延 迟 、 低 抖动 、 低 丢 包 率 ， 并 且 保 证 带宽 不 
受 其 他 PHB 流量 的 影响 ， 与 传统 的 租用 专线 类 似 。 

图 6-53 表示 因特网 划分 为 DS 域 的 情况 ，DS 域 的 边缘 路 由 器 包含 了 PHB 转发 机 制 ， 也 包 
含 了 更 复杂 的 通信 调节 功能 ， 这 样 就 简化 了 内 部 路 由 器 的 负担 。 边 缘 节 点 的 功能 也 可 以 由 连接 
DS 域 的 主机 来 提供 ， 以 管理 本 地 系统 中 的 应 用 。 

图 6-54 所 示 为 通信 调节 功能 的 操作 原理 ， 其 中 的 分 类 子 功能 的 作用 是 根据 DSCP 把 分 组 
划分 为 不 同 的 行为 聚集 BA， 也 可 以 根据 下 头 中 的 其 他 字段 进行 更 复杂 的 分 类 ; 度量 子 功能 是 
对 提交 的 通信 流 进行 测量 ， 以 确定 其 是 否 遵循 预 置 的 服务 等 级 约定 SLA; 标记 子 功能 是 对 通信 
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流 打 上 需要 的 标记 ， 特 别 对 超过 预 置 特征 〈Profile) 的 分 组 要 给 予 优先 丢弃 的 标记 ; 整形 子 功 
攻 可 以 对 某 些 分 组 进行 必要 的 延迟 ， 以 确保 给 定 类 的 通信 流 不 会 超过 其 预 署 特征 说 明 的 速率 ; 
丢弃 子 功能 是 对 超 流量 的 分 组 选择 性 地 丢弃 。 


边界 路 由 器 内 部 路 由 器 
分 类 、 度 量 。 ”分 类 和 队列 管 
标记 、 整 形 理 

丢弃 


图 6-53 DS 域 的 划分 


> 度量 器 


| D+-| 分 类 器 ~| 标记 器 整 向 丢弃 上 | 一 


分 组 


图 6-54 DS 通信 调节 功能 


与 IntServ 相 比 ，DiffServ 定义 了 一 个 相对 简单 而 粒度 较 粗 的 控制 系统 ，DiffServ 为 整个 汇 
聚 流 提供 服务 ， 具 有 可 扩展 性 ， 能 够 在 大 型 网 络 上 提供 QoS 保障 。 


6.10.3 流量 工程 


流量 工程 (Traffic Engineering，TE) 是 优化 网 络 资源 配置 的 技术 ， 是 利用 网 络 基础 设施 提 
供 最 佳 服务 的 工具 和 方法 ， 无 论 网 络 设备 和 传输 线路 处 于 正常 或 是 部 分 失效 状态 ， 利 用 流量 工 
程 技术 都 可 以 提供 最 佳 的 网 络 服务 。 流 量 工程 是 对 网 络 规划 和 网 络 工程 的 补充 措施 ， 使 得 现 有 
的 网 络 资源 可 以 充分 发 挥 它 的 效益 。 

在 早期 的 核心 网 络 中 ， 流 量 工程 是 通过 路 由 量度 实现 的 ， 即 对 每 条 链 路 指定 一 个 量度 值 ， 
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两 点 之 间 的 路 由 是 按照 预订 策略 计算 量度 值 后 确定 的 。 随 着 网 络 规模 的 扩大 ， 网 络 结构 越 来 越 
复杂 ， 路 由 量度 越 来 越 难 以 实现 了 。 利 用 MPLS 可 以 把 面向 连接 技术 与 IP 路 由 结合 起 来 ， 提 
供 更 多 的 手段 对 网 络 资源 进行 优化 配置 ， 提 供 更 好 的 QoS 保障 和 更 多 的 业务 类 型 ， 这 样 就 形成 
了 基于 MPLS 的 流量 工程 。 

基于 MPLS 的 流量 工程 (MPLS TE) 由 下 面 4 种 机 制 实现 。 

(1) 信息 分 发 。 流 量 工程 需要 关于 网 络 拓扑 的 详细 信息 以 及 网 络 负载 的 动态 信息 ， 这 可 以 
通过 扩展 现 有 的 IGP 来 实现 。 在 路 由 协议 发 布 的 网 络 公告 中 应 该 包含 链 路 的 属性 〈 链 路 带宽 、 
带宽 利用 率 和 带宽 预约 值 等 ), 并 且 通 过 泛 洪 算法 把 链 路 状态 信息 发 布 到 ISP 路 由 域 中 的 所 有 路 
由 器 。 每 一 个 标记 交换 路 由 器 LSR 都 要 维护 一 个 专用 的 流量 工程 数据 库 〈TED)， 记 载 网 络 链 
路 属性 和 拓扑 结构 信息 。 

(2) 通路 选择 。LSR 通过 TED 和 用 户 配 置 的 管理 信息 可 以 建立 显 式 路 由 。MPLS 传输 域 
入 口 处 的 标记 边缘 路 由 器 (LER) 可 以 列 出 LSP 中 的 所 有 LSR 来 建立 严格 的 显 式 路 由 ， 也 可 以 
只 列 出 部 分 LSR 来 建立 松散 的 显 式 路 由 。 

(3) 信 令 协议 。LSP 的 建立 依赖 于 新 的 信 令 控制 协议 ， 其 作用 是 在 通路 建立 过 程 中 传递 和 
发 布 标记 与 LSP 状态 的 绑 定 信息 。 

(4) 分 组 转发 。 一 旦 通路 建立 ，LSR 就 通过 标记 转发 机 制 来 传送 分 组 。 

通过 以 上 功能 ， 可 以 实现 许多 以 前 难以 实现 的 新 业务 。 显 式 路 由 (Explicit Route，ER) 可 
以 把 网 络 流量 引导 到 特定 的 通路 上 ， 以 实现 网 络 负载 的 均衡 分 布 。 如 果 网 络 中 有 VoIP， 也 有 数 
据 通路 ， 则 两 者 会 竞争 资源 ， 所 以 ，VoIP 要 给 予 较 高 的 优先 级 。 优 先 级 分 为 两 种 ， 即 建立 优先 
级 和 保持 优先 级 。 当 一 个 通路 建立 时 , 以 其 建立 优先 级 与 已 建立 的 通路 的 保持 优先 级 进行 比较 ， 
如 果 建 立 优先 级 大 于 保持 优先 级 ， 则 已 建立 的 通路 的 网 络 资源 将 被 后 来 者 抢占 。 在 链 路 失效 情 
况 下 ， 现 有 的 内 部 网 关 协 议 需 要 几 十 秒 时 间 才 能 恢复 。 快 速 重 路 由 功能 在 通路 建立 过 程 中 通过 
信 令 系统 建立 了 备份 路 由 ， 在 链 路 发 生 故 障 时 能 够 及 时 进行 切换 ， 所 以 可 以 对 重要 业务 的 连续 
性 进行 保护 。 这 种 保护 分 为 端 到 端的 通路 保护 和 本 地 保护 ， 后 者 又 进一步 分 为 链 路 保护 和 节点 
保护 。 这 些 都 需要 新 的 信 令 控制 协议 来 提供 支持 。 

MPLS 原来 定义 的 标记 分 发 协议 (LDP) 是 MPLS 网 络 的 信 令 控制 协议 ， 用 于 LSR 之 间 交 
换 标记 与 FEC 绑 定 信 息 , 以 便 建 立 和 维护 LSP。LDP 是 将 网 络 层 路 由 信息 直接 映射 到 数据 链 路 
层 的 交换 路 径 ， 从 而 建立 和 维护 LSP 的 一 系列 消息 和 过 程 。 对 等 的 LSR 实体 之 间 通 过 LDP 消 
息 发 现 邻 居 、 建 立会 话 、 分 发 标记 ， 并 报告 链 路 状态 和 检测 异常 事件 的 发 生 。 但 是 ，LDP 只 能 
根据 路 由 表 来 建立 虚 连接 ， 并 没有 平衡 流量 的 功能 ， 这 是 它 的 局 限 性 。 

为 了 支持 流量 工程 , MPLS 引入 了 新 的 标记 分 发 协议 。 基 于 约束 的 路 由 标记 分 发 协议 (Cons- 
traint-based Routing LDP，CR-LDP) 是 LDP 的 扩展 ， 仍 然 采用 标准 的 LDP 消息 格式 ， 与 LDP 
共享 TCP 连接 。 但 是 ，CR-LDP 可 以 在 标记 请 求 信息 中 包含 节点 列表 ， 从 而 在 MPLS 网 络 中 建 
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立 一 条 显 式 路 由 。CR-LDP 也 人 允许 在 标记 请 求 消息 中 设置 流量 参数 〈 峰 值 速 率 、 承 诺 速率 和 突 
发 特性 等 )， 从 而 为 LSP 提供 QoS 支持 。CR-LDP 还 能 携带 路 由 着 色 等 约束 参数 ， 用 来 标识 一 
个 链 路 的 性 能 ， 例 如 是 否 支 持 VoIP 等 。 

集成 服务 中 定义 的 资源 预约 协议 (RSVP) 用 于 为 通信 流 请 求 QoS 资源 ， 并 且 建 立 和 维护 
通路 状态 。 RSVP-TE 是 RSVP 协议 的 扩展 , 能 够 实现 流量 工程 所 需要 的 各 种 功能 。 在 RSVP-TE 
实现 中 将 RSVP 的 作用 对 象 从 通信 流转 变 为 FEC， 从 而 降低 了 控制 的 粒度 ， 同 时 也 提高 了 网 络 
的 可 扩展 性 。RSVP-TE 能 够 支持 建立 和 维护 LSP 的 附加 功能 ， 如 按 下 游标 记分 发 、 显 式 路 由 、 
带宽 预约 、 资 源 抢占 、LSP 隧道 的 跟踪 、 诊 断 和 重 路 由 等 功能 。 

IETF 提出 了 用 MPLS 支持 DiffServ 的 方法 (RFC 3270)， 能 够 把 DiffServ 的 一 个 或 多 个 
BA 映射 到 MPLS 的 一 条 LSP 上 ， 然 后 根据 BA 的 PHB 来 转发 LSP 上 的 流量 。 

如 果 要 将 BA 映射 到 LSP， 就 要 在 MPLS 包头 中 携带 BA 信息 〈 即 DSCP)。 可 以 把 一 类 具 
有 相同 队列 处 理 要 求 和 调度 行为 ， 但 丢弃 优先 级 不 同 的 PHB 定义 为 一 个 PHB 调度 类 (PHB 
Scheduling Class，PSC)， 这 样 就 可 以 在 MPLS 包头 中 表示 分 组 所 属 的 PSC 以 及 分 组 的 丢弃 优 
先 级 。 

IETF 将 LSP 分 为 以 下 两 类 。 

(1) E-LSP (EXP-Inferred-PSC LSP)。 用 MPLS 包头 的 EXP 字段 把 多 个 BA 指派 到 一 条 
LSP 上 ， 例 如 AF1 有 3 种 不 同 的 丢弃 优先 级 ， 属 于 3 个 不 同 的 BA， 则 可 以 把 这 3 种 AF1 指派 
到 同一 条 LSP 上 。 

由 于 EXP 只 有 3 位 ， 所 以 最 多 只 能 表示 8 种 不 同 的 BA。 当 超过 8 种 BA 时 ， 要 联合 使 用 
MPLS 包头 的 标记 字段 和 EXP 字段 ， 这 就 是 L-LSP。 

(2) L-LSP (Label-Only-Inferred-PSC LSP)。 把 一 条 LSP 指派 给 一 个 BA， 但 是 划分 成 多 个 
不 同 的 丢弃 优先 级 ， 用 MPLS 包头 中 的 标记 字段 来 区 分 不 同 的 调度 策略 ， 用 EXP 字段 表示 不 
同 的 丢弃 优先 级 。 

由 于 MPLS 设备 要 在 每 一 跳 中 交换 标记 值 , 因此 管理 标记 与 DSCP 的 映射 比较 困难 .E-LSP 
比 工 -LSP 更 容易 控制 ， 因 为 可 以 预先 确定 每 个 分 组 的 EXP 与 DSCP 之 间 的 映射 关系 。 


6.11 Internet 应 用 


Intemet 的 进程 /应 用 层 提供 了 丰富 的 分 布 式 应 用 协议 ， 可 以 满足 诸如 办 公 自 动 化 、 信 息 传 
输 、 远 程 文件 访问 、 分 布 式 资源 共享 和 网 络 管理 等 各 方面 的 需要 。 这 一 小 节 简 要 介绍 Intemet 
的 几 种 标准 化 了 的 应 用 协议 Telnet、FTP、SMTP 和 SNMP 等 , 这 些 应 用 协议 都 是 由 TCP 或 UDP 
支持 的 。 与 ISO/RM 不 同 ，Intemet 应 用 协议 不 需要 表示 层 和 会 话 层 的 支持 ， 应 用 协议 本 身 包含 
了 有 关 的 功能 。 
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6.11.1 ”远程 登录 协议 


远程 登录 (Telnet) 是 ARPAnet 最 早 的 应 用 之 一 ， 这 个 协议 提供 了 访问 远程 主机 的 功能 ， 
使 本 地 用 户 可 以 通过 TCP 连接 登录 到 远程 主机 上 ， 像 使 用 本 地 主机 一 样 使 用 远程 主机 的 资源 。 
当 本 地 终端 与 远程 主机 具有 异 构 性 时 ， 也 不 影响 它们 之 间 的 相互 操作 。 

终端 与 主机 之 间 的 异 构 性 表现 在 对 键盘 字符 的 解释 不 同 , 例如 PC 键盘 与 IBM 大 型 机 的 键 
盘 可 能 相差 很 大 ， 使 用 不 同 的 回 车 换行 符 ， 不 同 的 中 断 键 等 。 为 了 使 异 构 性 的 机 器 之 间 能 够 互 
操作 ，Telnet 定义 了 网 络 虚拟 终端 (Network Virtual Terminal，NVT)。NVT 代码 包括 标准 的 
7 位 ASCII 字符 集 和 Telnet 命令 集 。 这 些 字符 和 命令 提供 了 本 地 终端 和 远程 主机 之 间 的 网 络 
接口 。 

Telnet 采用 客户 端 /服务 器 工作 方式 。 用 户 终端 运行 Telnet 客户 程序 ， 远 程 主机 运行 Telnet 
服务 器 程序 。 客 户 端 与 服务 器 程序 之 间 执 行 Telnet NVT 协议 , 而 在 两 端 分 别 执行 各 自 的 操作 系 
统 功 能 ， 如 图 6-55 所 示 。 


Telnet 


Telnet 
4 服务 器 


用 户 终端 格式 远程 系统 格式 


图 6-55 Telnet 客户 端 /服务 器 概念 模型 


Telnet 提供 一 种 机 制 ， 允 许 客户 端 程序 和 服务 器 程序 协商 双方 都 能 接受 的 操作 选项 ， 并 提 
供 一 组 标准 选项 用 于 迅速 建立 需要 的 TCP 连接 。 另 外 ，Telnet 对 称 地 对 待 连接 的 两 端 ， 并 不 是 
专门 固定 一 端 为 客户 端 ， 另 一 端 为 服务 器 端 ， 而 是 允许 连接 的 任 一 端 与 客户 端 程 序 相连 ， 另 一 
端 与 服务 器 程序 相连 。 

Telnet 服务 器 可 以 应 付 多 个 并 发 的 连接 。 通 常 ，Telnet 服务 进程 等 待 新 的 连接 ， 并 为 每 一 
个 连接 请 求 产生 一 个 新 的 进程 。 当 远程 终端 用 户 调用 Telnet 服务 时 ， 终 端 机 器 上 就 产生 一 个 客 
户 程序 ， 客 户 程序 与 服务 器 的 固定 端口 (23) 建立 TCP 连接 ， 实 现 Telnet 服务 。 客 户 程序 接收 
用 户 终 端的 键盘 输入 ， 并 发 送 给 服务 器 。 同 时 服务 器 送 回 字符 ， 通 过 客户 端 软件 的 转换 显示 在 
用 户 终端 上 。 用 户 就 是 通过 这 样 的 方式 来 发 送 Telnet 命令 ， 调 用 服务 器 主机 的 资源 完成 计算 任 
务 。 例 如 ， 当 用 户 在 PC 上 输入 命令 行 telnet alpha， 则 会 从 Intermet 上 收 到 一 个 叫 作 alpha 的 主 
机 的 登录 提示 符 , 在 提示 符 的 指示 下 再 输入 用 户 名 和 口令 字 就 可 以 使 用 alpha 机 器 上 的 资源 了 。 
如 果 从 alpha 机 器 上 退出 ，PC 又 回 到 本 地 操作 系统 控制 之 下 了 。 
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6.11.2 ”文件 传输 协议 


文件 传输 协议 (File Transfer Protocol，FTP) 也 是 Intemet 最 早 的 应 用 层 协 议 。 这 个 协议 用 
于 主机 间 传 送 文 件 ， 主 机 类 型 可 以 相同 ， 也 可 以 不 同 ， 还 可 以 传送 不 同类 型 的 文件 ， 例 如 二 进 
制 文件 或 文本 文件 等 。 

图 6-56 给 出 了 FTP 客户 端 /服务 器 模型 。 客 户 端 与 服务 器 之 间 建 立 两 条 TCP 连接 , 一 条 用 
于 传送 控制 信息 ,一 条 用 于 传送 文件 内 容 .FTP 的 控制 连接 使 用 了 Telnet 协议 , 主要 是 利用 Telnet 
提供 的 简单 的 身份 认证 系统 ， 供 远程 系统 鉴别 FTP 用 户 的 合法 性 。 


图 6-56 FTP 的 客户 端 /服务 器 概念 模型 


FTP 服务 器 软件 的 具体 实现 依赖 于 操作 系统 。 一 般 情况 是 , 在 服务 器 一 侧 运行 后 台 进 程 S， 
等 待 出 现在 FTP 专用 端口 (21) 上 的 连接 请 求 。 当 某 个 客户 端 向 这 个 专用 端口 请 求 建立 连接 时 ， 
进程 S 便 激 活 一 个 新 的 FTP 控制 进程 N， 处理 进 来 的 连接 请 求 。 然 后 S 进程 返回 ， 等 待 其 他 客 
户 端 访 问 。 进 程 N 通过 控制 连接 与 客户 端 进行 通信 ， 要 求 客户 在 进行 文件 传送 之 前 输入 登录 标 
识 符 和 口令 字 。 如 果 登 录 成 功 ， 用 户 可 以 通过 控制 连接 列 出 远程 目录 ， 设 置 传 送 方式 ， 指 明 要 
传送 的 文件 名 。 当 用 户 获 准 按照 所 要 求 的 方式 传送 文件 之 后 ， 进 程 N 激活 另 一 个 辅助 进程 D 
来 处 理 数据 传送 。D 进程 主动 开通 第 二 条 数据 连接 端口 号 为 20)， 并 在 文件 传送 完成 后 立即 
关闭 此 连接 ，D 进程 也 自动 结束 。 如 果 用 户 还 要 传送 另 一 个 文件 ， 再 通过 控制 连接 与 N 进程 会 
话 ， 请 求 另 一 次 传送 。 

FTP 是 一 种 功能 很 强 的 协议 ， 除 了 可 以 从 服务 器 向 客户 端 传送 文件 之 外 ， 还 可 以 进行 第 三 
方 传送 。 这 时 客户 端 必须 分 别 开 通 与 两 个 主机 〈 例 如 A 和 B) 之 间 的 控制 连接 。 如 果 客 户 端 获 
准 从 A 机 传 出 文件 和 向 B 机 传 入 文件 ， 则 A 服务 器 程序 就 建立 一 条 到 B 服务 器 程序 的 数据 连 
接 。 客 户 端 保持 文件 传送 的 控制 权 ， 但 不 参与 数据 传送 。 

所 谓 匿名 FTP, 是 这 样 一 种 功能 : 用 户 通过 控制 连接 登录 时 , 采用 专门 的 用 户 标识 符 “anon- 
ymous” 并 把 自己 的 电子 邮件 地 址 作为 口令 输入 , 这 样 可 以 从 网 上 提供 匿名 FTP 服务 的 服务 器 
下 载 文件 。Intemet 中 有 很 多 匿名 FTP 服务 器 ， 提 供 一 些 免费 软件 或 有 关 Internet 的 电子 文档 。 

FTP 提供 的 命令 十 分 丰富 ， 包 括 文件 传送 、 文 件 管理 、 目 录 管 理 和 连接 管理 等 一 般 文件 系 
统 具有 的 操作 功能 ， 还 可 以 用 help 命令 查阅 各 种 命令 的 使 用 方法 。 


第 6 章 网 络 互 连 与 互联 网 “ 国 257 医 


6.11.3 ”简单 邮件 传输 协议 


电子 邮件 (E-mail) 是 Intemet 上 使 用 最 多 的 网 络 服务 之 一 ， 广 泛 使 用 的 电子 邮件 协议 是 
简单 邮件 传输 协议 (Simple Mail Transfer Protocol，SMTP)。 这 个 协议 也 使 用 客户 端 /服务 器 操 
作 方 式 ， 也 就 是 说 ， 发 送 邮件 的 机 器 起 SMTP 客户 的 作用 ， 连 接 到 目标 端的 SMTP 服务 器 上 。 
而 且 只 有 在 客户 端 成 功 地 把 邮件 传送 给 服务 器 之 后 ， 才 从 本 地 删除 报 文 。 这 样 ， 通 过 端 到 端的 
连接 保证 了 邮件 的 可 靠 传 输 。 

发 送 端 后 台 进 程 通过 本 地 的 通信 主机 登记 表 或 DNS 服务 器 把 目标 机 器 标识 变换 成 网 络 地 
址 ， 并 且 与 远程 邮件 服务 器 进程 〈 端 口号 为 25) 建立 TCP 连接 ， 以 便 投递 报 文 。 如 果 连 接 成 
功 ， 发 送 端 后 台 进 程 就 把 报 文 复制 到 目标 端 服务 器 系统 的 假 脱 机 存储 区 ， 并 删除 本 地 的 邮件 报 
文 副 本 ; 如 果 连 接 失败 ， 就 记录 下 投递 时 间 ， 然 后 结束 。 服 务 器 邮件 系统 定期 扫描 假 脱 机 存储 
区 ， 查 看 是 否 有 未 投递 的 邮件 。 如 果 发 现 有 未 投递 的 邮件 ， 便 准备 再 次 发 送 。 对 于 长 时 间 不 能 
投递 的 邮件 ， 则 返回 发 送 方 。 

通常 ，E-mail 地 址 包括 两 部 分 : 邮箱 地 址 〈 或 用 户 名 ) 和 目标 主机 的 域名 。 例 如 ，elinor 
@csucdavis.edu 就 是 一 个 标准 的 SMTP 邮件 地 址 。 

接收 方 从 邮件 服务 器 取 回 邮件 要 用 到 POP3 (Post Office Protocol 第 3 版 ) 协议 ， 当 接收 
用 户 呼叫 ISP 的 邮件 服务 器 时 与 110 端口 建立 TCP 连接 ， 然 后 就 可 以 下 载 邮件 了 ， 如 图 6-57 
所 示 。 


SMTP 服 务 ”POP3 服 务 ) 


2 OO POP3 连 接 


So 0 入 一 0 
发 送 方 


邮件 服务 器 接收 方 


图 6-57 电子 邮件 服务 概念 模型 


SMTP 邮件 采用 RFC 822 规定 的 格式 , 这 种 邮件 只 能 是 用 英语 书写 的 、 采 用 ASCII 编码 的 
文本 (Text) 文件 。MIME (Multipurpose Internet Mail Extensions) 是 SMTP 邮件 的 扩充 ， 定 义 
了 新 的 报 文 结构 和 编码 规则 ， 适 用 于 在 因特网 上 传输 用 多 国文 字 书 写 的 多 媒体 邮件 。 
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6.11.4 超 文本 传输 协议 


WWW (World Wide Web) 服务 是 由 分 布 在 Intemet 中 的 成 千 上 万 个 超 文 本 文档 链接 成 的 网 
络 信息 系统 。 这 种 系统 采用 统一 的 资源 定位 器 和 精彩 鲜艳 的 声音 图 文 用 户 界面 ， 用 户 可 以 方便 
地 浏览 网 上 的 信息 和 利用 各 种 网 络 服务 。WWAW 现 已 成 为 网 民 不 可 缺少 的 信息 查询 工具 。 

WWW 服务 是 欧洲 核子 研究 中 心 (European Center for Nuclear Research，CERN) 开发 的 ， 
最 初 是 为 了 参与 核 物 理 实验 的 科学 家 之 间 通 过 网 络 交流 研究 报告 、 装 置 蓝图 、 图 画 、 照 片 和 其 
他 文档 而 设计 的 一 种 网 络 通信 工具 。1989 年 3 月 ， 物 理学 家 Tim Berners-Lee 提出 初步 的 研究 
报告 ，18 个 月 后 有 了 初始 的 系统 原型 。1993 年 2 月 发 布 了 第 一 个 图 形式 的 浏览 器 Mosaic， 它 
的 作者 Marc Andreesen 在 NCSA (National Center for Supercomputing Applications) 成 立 了 网 景 
通信 公司 (Netscape Communications)， 开 始 提供 Web 服务 器 访问 。 今 天 ， 主 要 的 数据 库 厂商 
(例如 Sybase、Oracle 等 ) 都 支持 Web 服务 器 , 流行 的 操作 系统 都 有 自己 的 Web 浏览 器 。 WWW 
几乎 成 了 Internet 的 同 义 语 。Web 技术 还 被 用 于 构造 企业 内 部 网 (Intranet)。 

Web 技术 是 一 种 综合 性 网 络 应 用 技术 ， 关 系 到 网 络 信息 的 表示 、 组 织 、 定 位 、 传 输 、 显 示 
以 及 客户 和 服务 器 之 间 的 交互 作用 等 。 通 常 文字 信息 组 织 成 线性 的 ASCII 文本 文件 ， 而 Web 
上 的 信息 组 织 是 非 线 性 的 超 文本 文件 (Hypertext ) 。 简 单 地 说 ， 超 文本 可 以 通过 超 链接 
(Hyperlink) 指向 网 络 上 的 其 他 信息 资源 。 超 文本 互相 链接 成 网 状 结构 ， 使 得 人 们 可 以 通过 链 
接 追 索 到 与 当前 节点 相关 的 信息 。 这 种 信息 浏览 方法 正 是 人 们 习惯 的 联想 式 、 跳 跃 式 的 思维 方 
式 的 反映 。 更 具体 地 说 ， 一 个 超 文本 文件 叫 作 一 个 网 页 (Web Page)， 网 页 中 包含 指向 有 关 网 
页 的 指针 《〈 超 链接 )。 如 果 用 户 选择 了 某 一 个 指针 ， 则 有 关 的 网 页 就 显示 出 来 。 超 链接 指向 的 
网 页 可 能 在 本 地 ， 也 可 能 在 网 上 其 他 地 方 。 

Web 上 的 信息 不 仅 是 超 文本 文件 ， 还 可 以 是 语音 、 图 形 、 图 像 和 动画 等 。 就 像 通常 的 多 媒 
体 信息 一 样 ， 这 里 有 一 个 对 应 的 名 称 叫 超 媒体 (Hypermedia)。 超 媒体 包括 了 超 文本 ， 也 可 以 用 
超 链接 连接 起 来 ， 形 成 超 媒体 文档 。 超 媒体 文档 的 显示 、 搜 索 、 传 输 功 能 全 部 都 由 浏览 器 
(Browser) 实现 。 现 在 基于 命令 行 的 浏览 器 已 经 过 时 了 ， 声 像 图 形 结合 的 浏览 器 得 到 了 广泛 的 
应 用 ， 例 如 Netscape 的 Navigator 和 微软 的 Intemet Explorer 等 。 

运行 Web 浏览 器 的 计算 机 要 直接 连接 Internet 或 者 通过 拨号 线路 连接 到 Internet 主机 上 。 
因为 浏览 器 要 取得 用 户 要 求 的 网 页 必须 先 与 网 页 所 在 的 服务 器 建立 TCP 连接 。 WWW 的 运行 方 
式 也 是 客户 端 /服务 器 方式 。Web 服务 器 的 专用 端口 (80) 时 刻 监 视 进来 的 连接 请 求 ， 建 立 连接 
后 用 超 文本 传输 协议 (Hyper Text Transfer Protocol，HTTP) 和 用 户 进行 交互 作用 。 一 个 简单 的 
WWW 模型 如 图 6-58 所 示 。 
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图 6-58 简单 的 WWW 模型 


HTTP 是 为 分 布 式 超 文本 信息 系统 设计 的 一 个 协议 。 这 个 协议 不 仅 简单 有 效 ， 而 且 功 能 强 
大 ， 可 以 传送 多 媒体 信息 ， 适 用 于 面向 对 象 的 作用 ， 是 Web 技术 中 的 核心 协议 。HTTP 协议 的 
特点 是 建立 一 次 连接 ， 只 处 理 一 个 请 求 ， 发 回 一 个 应 答 ， 然 后 连接 就 释放 了 ， 所 以 被 认为 是 无 
状态 的 协议 ， 即 不 能 记录 以 前 的 操作 状态 ， 因 而 也 不 能 根据 以 前 操作 的 结果 连续 操作 。 这 样 做 
固然 有 其 不 方便 之 处 ， 但 主要 的 好 处 是 提高 了 协议 的 效率 。 

浏览 器 通过 统一 资源 定位 器 (Uniform Resource Locators，URL) 对 信息 进行 寻 址 。URL 
由 3 部 分 组 成 ， 指 出 了 用 户 要 求 的 网 页 的 名 字 、 网 页 所 在 主机 的 名 字 以 及 访问 网 页 的 协议 。 例 
如 ，http://www.w3.org/welcome.html 是 一 个 URL,， 其 中 http 是 协议 名 称 ，www.w3.org 是 服务 器 
主机 名 ，welcome.html 是 网 页 文件 名 。 

如 果 用 户 选 择 了 一 个 要 访问 的 网 页 ， 则 浏览 器 和 Web 服务 器 的 交互 过 程 如 下 。 

(1) 浏览 器 接收 URL。 

(2) 浏览 器 通过 DNS 服务 器 查找 www.w3.org 的 了 P 地 址 。 

(3) DNS 给 出 瑟 地 址 18.23.0.32。 

(4) 浏览 器 与 主机 〈18.23.0.32) 的 端口 80 建立 TCP 连接 。 

(5) 浏览 器 发 出 请 求 GET/welcome.html 文件 。 

(6) www.w3.org 服务 器 发 送 welcome.html 文件 。 

(7) 释放 TCP 连接 。 

(8) 浏览 器 显示 welcome.html 文件 。 

其 中 , 第 (5) 步 的 GET 是 HTTP 协议 提供 的 少数 操作 方法 中 的 一 种 ， 其 含义 是 读 一 个 网 
页 。 常 用 的 还 有 HEAD 〈 读 网 页 头 信 息 ) 和 POST (把 消息 加 到 指定 的 网 页 上 ) 等 。 另 外 ， 要 
说 明 的 是 很 多 浏览 器 不 仅 支持 HTTP 协议 , 还 支持 FTP、Telnet 和 Gopher 等 , 使 用 方法 与 HITP 
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完全 一 样 。 

超 文本 标记 语言 (Hyper Text Markup Language，HTML) 是 制作 网 页 的 语言 。 就 像 编辑 程 
序 一 样 ，HTML 可 以 编辑 出 图 文 并 茂 、 色 彩 丰 富 的 网 页 ， 但 这 种 编辑 不 是 像 Microsoft Word 那 
样 的 “所 见 即 所 得 ”的 编辑 方式 ， 而 是 像 “ 华 光 ” 那 种 排版 程序 一 样 ， 在 正文 中 加 入 一 些 排版 
命令 。HTML 中 的 命令 叫 作 “ 标 记 (tag)”， 就 像 编 辑 们 在 稿件 中 画 的 排版 标记 一 样 ， 这 就 是 超 
文本 标记 语言 的 由 来 。 HTML 的 标记 用 一 对 尖 插 号 表示 , 例如 <HEAD> 和 </HEAD> 分 别 表示 网 
页 头 部 的 开始 和 结束 ，<BODY> 和 </BODY> 分 别 表示 网 页 主体 的 开始 和 结束 。 图 6-59 是 一 个 
简单 网 页 的 例子 ， 其 中 <TITLE> 和 </TITLE> 之 间 的 部 分 是 网 页 的 主题 ， 主 题 并 不 显示 ， 有 时 用 
于 标识 网 页 的 窗口 。<H1> 和 </H1> 表 示 第 1 层 标题 ，HTML 允许 最 多 设置 6 层 小 标题 。 最 后 ， 
<P> 表 示 前 一 段 结束 和 下 段 开 始 。 


<TITLE> 简 单 网 页 的 例子 </TITLE> 
<H1>Welcome to Xi"an Home Page</H1> 
<P>We are so happy that you have chosen to visit this Home page</P> 
<P>You can find all the information you may need.</P> 
(a) HTML 文 件 
Welcome to Xi"an Home Page 


We are so happy that you have chosen to visit this Home Page 


You can find all the information you may need 
(b) 显示 的 网 页 


图 6-59 简单 网 页 的 例子 
最 重要 的 是 HTML 可 以 建立 超 链接 , 指向 Web 中 的 其 他 信息 资源 。 这 个 功能 是 由 标记 <A> 
和 </A> 实 现 的 。 例 如 : 
<A HREF="http://www.nasa.gov">NASA'S home page</A> 
定义 了 一 个 超 链接 。 网 页 中 会 显示 一 行 : 
NASA'S home page 


如 果 用 户 单 击 了 这 一 行 , 则 浏览 器 根据 URL 中 的 http://www.nasa.gov 寻找 对 应 的 网 页 并 显 
示 在 屏幕 上 。HTML 还 能 处 理 表格 、 图 像 等 多 种 形式 的 信息 ， 它 的 强大 的 描述 能 力 使 屏幕 表现 
丰富 多 彩 。 
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用 Java 语言 编写 的 小 程序 (Applets) 嵌入 在 HTML 文件 中 ， 可 以 使 网 页 活动 起 来 ， 用 来 
设计 动态 的 广告 、 卡 通 动画 片 和 瞬息 变换 的 股票 交易 大 屏幕 等 。Java 语言 的 简单 性 、 可 移植 性 、 
分 布 性 、 安 全 性 和 面向 对 象 的 特点 使 它 成 为 网 络 时 代 的 宠儿 。 

与 WWW 有 关 的 另 一 个 重要 协议 是 公共 网 关 接口 Common Gateway Interface，CGI)。 当 
Web 用 户 要 使 用 某 种 数据 库 系 统 时 可 以 写 一 个 CGI 程序 〈 叫 作 脚 本 Scriptby， 作 为 Web 与 数据 
库 服务 器 之 间 的 接口 。 这 种 脚本 程序 使 用 户 可 通过 浏览 器 与 数据 库 服务 器 交互 作用 ， 使 得 在 线 
购物 、 远 程 交易 等 实时 数据 库 访 问 很 容易 实现 。CGI 脚本 程序 跨越 了 不 同 服务 器 的 界限 ， 可 运 
行 在 任何 数据 库 管理 系统 上 。 


6.11.5 ”P2P 应 用 


以 上 介绍 的 网 络 应 用 (文件 传输 、 电 子 邮 件 、 网 页 浏览 等 ) 都 采用 了 C/S 或 B/S 模式 。 另 
外 一 种 应 用 模式 叫 作 点 对 点 应 用 (Peer-to-Peer，P2P)， 在 这 种 模式 中 ， 没 有 客户 机 和 服务 器 的 
区 别 ， 每 一 个 主机 既是 客户 机 ， 又 是 服务 器 ， 它 们 的 角色 是 对 等 的 ， 所 以 ，P2P 是 一 种 对 等 通 
信 的 网 络 模型 。 

其 实 ，P2P 并 不 是 什么 新 概念 ， 在 互联 网 初创 时 期 ，P2P 就 出 现在 1969 年 发 表 的 RFC 1 
文档 中 ，ARPAnet 最 初 被 想象 成 像 电话 网 那样 的 端 到 端的 对 等 通信 系统 。 在 后 来 发 展 的 各 种 
C/S 应 用 中 也 有 P2P 的 影子 ， 例 如 在 SMTP 邮件 系统 中 ， 邮 件 传输 代理 〈Mail Transfer Agents) 
就 是 P2P 通信 模型 的 体现 。Web 技术 发 明 人 Tim Berners-Lee 描 述 的 WWW Editor/Brower 就 是 一 
种 P2P 网 络 模型 ， 他 认为 ， 每 一 个 网 络 用 户 都 可 以 参与 Web 页面 的 编辑 ,通过 超 链接 提供 自己 
贡献 的 内 容 , 这 种 思想 今天 被 网 民 们 命名 为 Web 2.0, 成 为 网 上 热 议 的 话题 , 像 维基 (Wikipedia) 
那样 的 P2P 应 用 则 在 互联 网 上 非常 盛行 。 


1. BitTorrent 协议 


按照 广义 的 解释 ，P2P 模型 是 泛 指 各 种 没有 中 心服 务 器 的 网 络 体系 结构 。 我 们 特别 把 完全 
没有 服务 中 心 ， 也 没有 路 由 中 心 的 网 络 称 为 “ 纯 ”P2P 网 络 。 事 实 上 ， 还 有 大 量 的 网 络 属于 混 
合 型 P2P 系统 。 在 这 种 系统 中 ， 有 一 个 管理 用 户 信息 的 索引 服务 器 ， 任 何 用 户 的 信息 请 求 都 是 
首先 发 送 给 索引 服务 器 ， 再 在 索引 服务 器 的 引导 下 与 其 他 对 等 方 建立 网 络 连接 。 各 个 客户 端 都 
保存 着 一 部 分 信息 资源 ， 并 把 本 地 存储 的 信息 告诉 索引 服务 器 ， 准 备 向 其 他 客户 端 提 供 下 载 服 
务 。BitTorrent 是 最 早出 现 的 P2P 文件 共享 协议 ， 下 面 以 这 个 协议 为 例 介绍 P2P 网 络 的 工作 
原理 。 

首先 定义 ，BitTorrent 客户 端 是 运行 BitTorrent 协议 的 程序 ， 网 络 中 的 对 等 方 (peer) 是 一 
个 运行 客户 端 实例 的 计算 机 。 为 了 共享 一 个 文件 ， 首 先 由 一 个 用 户 生成 一 个 流 文件 (例如 
Myfiletorrent)， 其 中 包含 共享 文件 的 元 数据 。 另 外 ， 还 需要 一 个 叫 作 跟踪 器 (tracker) 的 计算 
机 ， 它 的 任务 是 协调 文件 的 分 发 。 需 要 下 载 文件 的 对 等 方 首先 要 取得 有 关 的 流 文件 ， 并 连接 到 
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跟踪 计算 机 ， 以 便 了 解 从 哪儿 可 以 下 载 到 一 小 段 文件 。BitTorrent 与 Web 浏览 器 不 同 ， 前 者 是 
在 许多 不 同 的 TCP 端口 上 各 自 请 求 一 小 段 数据 ， 而 后 者 是 在 一 个 TCP 端口 上 执行 整个 HTTP 
GET 操作 。 另外 , BitTorrent 下 载 是 随机 的 , 实行 稀有 者 优先 (rarest-first) 下 载 的 原则 , 而 HITP 
是 完全 按 顺 序 下 载 的 。 

这 些 差 别 使 得 BitTorrent 具备 了 低 费 用 、 高 元 余 的 内 容 提 供 机 制 ， 而 且 能 够 抗拒 带宽 滥用 
和 服务 器 过 载 引 起 的 系统 崩溃 。 然 而 这 一 切 也 是 有 代价 的 ， 开 始 时 下 载 很 慢 ， 需 要 一 定 的 时 间 
才能 达到 全 速 下 载 ， 这 是 因为 需要 时 间 来 建立 足够 多 的 有 效 连 接 ， 也 需要 时 间 才 能 使 用 户 接收 
到 足够 多 的 数据 ， 从 而 变 成 有 效 的 上 传 者 。 典 型 的 BitTorrent 下 载 是 逐渐 地 提升 速度 ， 并 且 在 
下 载 完 成 时 又 逐渐 下 降 速 度 ， 这 些 特点 与 HTTP 服务 器 下 载 是 完全 相反 的 。 


2. 生成 和 发 布 流 文 件 


数据 文件 的 发 布 者 把 文件 划分 成 一 些 大 小 相等 的 数据 块 ， 块 的 大 小 通常 是 64kB 到 4MB， 
对 每 一 个 数据 块 采用 SHA-1 哈 希 算法 计算 一 个 校 验 和 ， 并 记录 在 流 文件 中 。 如 果 数 据 块 大 于 
512kB， 将 会 减 小 流 文件 的 大 小 ， 但 是 却 降低 了 协议 的 效率 。 当 一 个 用 户 接收 到 一 个 数据 块 时 
要 用 校 验 和 进行 校 验 ， 以 保证 没有 错误 。 提 供 完整 文件 的 对 等 方 叫 作 种 子 ， 提 供 共享 文 件 初始 
副本 的 种 子 叫 作 初始 种 子 。 

包含 在 流 文件 中 的 信息 依赖 于 BitTorent 协议 的 版 本 ， 流 文件 中 的 声明 部 分 (announce) 
说 明了 跟踪 器 的 URL， 信 息 部 分 (info) 包含 了 文件 名 、 文 件 长 度 、 数 据 块 长 度 ， 以 及 每 一 个 
数据 块 的 哈 希 值 (用 于 验证 数据 块 的 完整 性 )。 

流 文 件 通常 发 布 在 网 站 上 ， 并 且 在 跟踪 器 中 进行 了 注册 。 跟 踪 器 维持 一 个 当前 参与 的 用 户 
列表 。 在 没有 跟踪 器 的 纯 P2P 系统 中 ， 每 一 个 活动 的 对 等 方 都 是 一 个 跟踪 器 。Azureus 最 先 实 
现 了 没有 跟踪 器 的 BitTorrent 客户 端 ， 提 出 了 分 布 式 哈 希 表 (Distributed Hash Table，DHT) 的 
概念 。 后 来 ，Mainline 也 实现 了 一 种 DHT， 但 是 与 Azureus 的 DHT 不 兼容 ， 现 在 常用 的 P2P 
系统 〈 例 如 hTorrent、rTorent、BitComet、BitSpirit 等 ) 都 与 Mainline 的 DHT 兼容 。 


3. 文件 下 载 和 共享 


用 户 通过 浏览 网 页 找到 感 兴趣 的 流 文件 ， 在 BitTorrent 客户 端 打开 它 ， 这 时 就 可 以 找到 拥 
有 共享 文件 资源 的 对 等 方 ， 一 段 一 段 地 下 载 文件 中 的 数据 。 

客户 端 采 用 了 各 种 机 制 来 优化 下 载 和 上 传 ， 例 如 ， 可 以 随机 地 下 载 一 个 数据 片 ， 这 样 可 以 
增加 数据 交换 的 机 会 ， 但 这 只 在 两 个 对 等 方 拥有 不 同 的 数据 片 时 才 是 可 行 的 。 

这 种 数据 交换 的 效果 在 很 大 程度 上 依赖 于 用 户 采用 什么 策略 来 决定 “向 谁 发 送 ”。 客 户 端 
通常 喜欢 采用 的 策略 是 “以 牙 还 牙 、 针 锋 相 对 ”(tit for tat)， 即 谁 给 我 上 传 ， 我 就 给 谁 发 送 ， 
这 样 可 以 鼓励 公平 交易 。 但 是 ， 严 格 的 策略 常常 会 导致 次 优 的 结果 ， 例 如 ， 初 加 入 的 对 等 方 没 
有 数据 与 别人 交换 ， 因 而 不 能 接收 任何 数据 ; 或 者 由 于 两 个 建立 了 有 效 连接 的 对 等 方 都 处 于 初 
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始 交 换 阶段 ， 所 以 也 无 法 交换 数据 。 为 了 解决 这 类 问题 ，BitTorrent 客户 端 程序 采用 了 一 种 叫 作 
“解除 室 息 ”的 机 制 : 客户 端 保留 一 部 分 带宽 随时 向 一 个 随机 的 对 等 方 发 送 数据 ， 以 此 来 发 现 
真正 的 对 等 方 ， 并 使 其 加 入 到 传送 的 人 群 中 。 


4. Kademlia 算法 


第 一 代 P2P 网 络 〈 例 如 Napster) 依赖 于 中 心 跟踪 器 来 实现 共享 资源 的 查找 。 这 种 方法 没 
有 摆脱 C/S 模式 中 单 点 失效 的 缺陷 。 

第 二 代 P2P 网 络 〈 例 如 Gnutella) 采用 了 泛 洪 搜索 法 ， 用 户 把 自己 的 数据 请 求 泛 洪 发 送 到 
整个 网 络 中 ， 从 而 尽 可 能 多 地 发 现 拥有 共享 数据 的 对 等 方 。 这 种 方法 的 缺点 是 泛 洪 传播 会 产生 
大 量 的 通信 流 ， 从 而 造成 了 网 络 带宽 的 浪费 。 

第 三 代 P2P 网 络 使 用 了 分 布 式 哈 希 表 来 查找 网 络 中 的 共享 文件 , 我 们 把 这 种 网 络 称 为 结构 
化 的 P2P 网 络 , 而 把 以 前 的 P2P 网 络 称 为 非 结 构 化 的 P2P 网 络 。 结构 化 的 P2P 网 络 采用 了 一 个 
全 局 有 效 而 又 分 散 存储 的 路 由 表 ， 可 以 保证 任何 节点 的 搜索 请 求 都 能 被 路 由 到 拥有 期 望 内 容 的 
对 等 方 ， 即 使 在 内 容 极端 稀少 的 情况 下 也 是 如 此 。 

现在 已 经 提出 了 多 种 分 布 式 哈 希 表 的 解决 方案 ， 比 较 典 型 的 有 CAN、CHORD、Tapestry、 
Pastry、Kademlia 和 Viceroy 等 ，Kademlia 协议 是 其 中 最 为 简洁 、 实 用 的 一 种 ， 当 前 主流 的 P2P 
软件 大 多 采用 它 作 为 辅助 检索 协议 ， 例 如 eMule、BitComet、BitSpirit 和 Azureus 等 。 

Kademlia 是 纽约 大 学 的 Petar Maymounkov 和 David Mazieres 在 2002 年 发 表 的 分 布 式 哈 希 
表 算 法 ， 运 行 Kademlia 协议 的 网 络 称 为 Kad 网 络 。 在 这 种 网 络 中 ， 每 个 节点 都 有 一 个 随机 生 
成 的 160 位 的 标识 符 (ID)。 两 个 节点 x 和 ?之 间 的 距离 4 定义 为 它们 的 ID 按 位 异 或 (XOR) 
的 结果 : 


Axy) =x@7 
这 样 定义 的 距离 满足 欧 几 里 德 距离 的 属性 : 
d(x, x)=0 
dry) >0, ifx#y 
Vx,y: dx,D) = dy, YD) 
dx WD) + dO7, 3) > dr, 3), :de © dly, 3 =dx, 3) 

Kad 网 络 中 的 所 有 节点 都 被 当 作 一 棵 二 叉 树 的 叶子 节点 ， 节 点 ID 值 的 最 短 前 级 唯一 地 确 
定 了 节点 在 树 上 的 位 置 。 每 一 个 节点 都 维护 一 棵 本 地 的 二 叉 树 ， 用 于 表示 自己 与 其 他 节点 的 距 
离 。 二 叉 树 的 生成 规则 如 下 : 

(1) 最 高 层 的 子 树 由 整 棵 树 中 不 包含 自己 的 另 一 半 子 树 组 成 。 

(2) 下 一 层 子 树 由 剩 下 的 部 分 不 包含 自己 的 另 一 半 子 树 组 成 。 

依 此 类 推 ， 直 到 分 割 完 整 棵 树 。 图 6-60 表示 ID 为 0011 的 节点 构建 的 子 树 。 
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节点 ID0011 


图 6-60 Kad 网 络 中 的 树 结构 


Kad 网 络 中 的 DHT 是 分 散 地 存储 在 各 个 节点 中 的 一 张大 表 ， 该 表 的 每 一 项 由 两 部 分 组 成 ， 
一 部 分 是 某 个 数据 块 的 哈 希 值 ， 称 为 键 (Key); 另 一 部 分 是 拥有 该 数据 块 的 主机 的 值 (Value)， 
用 一 个 三 元 组 〈 卫 地 址 ，UDP 端口 ， 目 标 节 点 人 D) 表 示 。 每 一 个 节点 只 存储 离 自己 最 近 的 一 
些 节 点 的 信息 。 也 就 是 说 ， 每 个 节点 对 自己 附近 的 情况 非常 了 解 ， 随 着 距离 的 增 大 ， 了 解 的 程 
度 逐 渐 降 低 。 

可 以 证 明 ， 在 具有 7 个 节点 的 Kad 网 络 中 查找 一 个 目标 节点 ， 需 要 的 最 大 搜索 次 数 为 
O(log(n))。 这 正 是 Kad 网 络 的 效率 之 所 在 ， 也 是 Kademlia 算法 在 各 种 P2P 网 络 中 被 广泛 采用 
的 原因 。 图 6-61 表示 节点 0011 找到 节点 1110 的 过 程 ， 第 一 步 先 找到 节点 101， 第 二 步 找到 节 
点 1101， 第 三 步 找 到 节点 11110， 第 四 步 终于 找到 了 节点 1110。 在 这 其 中 ， 只 有 第 一 步 查 询 的 
节点 101 是 节点 0011 已 经 知道 的 ， 其 他 节点 都 是 上 一 步 查 询 返 回 的 更 接近 目标 的 节点 。 


WE Space of 160-bit mmmbers 00..00 


O-OF-0--0—0 O O 0-0—0—0—00 


图 6-61 Kad 网 络 搜索 的 例子 


第 7 章 下 一 代 互 联网 国 


下 一 代 互 联网 (Next Generation Internet，NGI) 是 美国 政府 于 20 世纪 90 年 代 支 持 的 研究 
计划 ， 其 目的 有 3 个 : 开发 下 一 代 光 纤 技 术 ， 把 现 有 网 络 的 连接 速率 提高 100 一 1000 倍 ; 研发 
高 级 的 网 络 服务 技术 ， 包 括 QoS、 网 络 管理 新 技术 和 新 的 网 络 服务 体系 结构 ;演示 新 的 网 络 应 
用 ， 例 如 远程 医疗 、 远 程 教育 、 高 性 能 全 球 通信 等 。 该 研究 计划 于 2002 年 宣布 基本 完成 。 我 
国 的 下 一 代 互 联网 计划 CNGI 从 2003 年 开始 启动 , 经 过 了 5 年 的 研究 终于 取得 了 圆满 成 功 , 并 
在 2008 年 北京 奥运 会 期 间 向 全 世界 展示 了 基于 IPv6 的 官方 网 站 www.beijing2008.cn。 本 章 讲 
述 NGI 的 关键 技术 以 及 IPv4 向 IPv6 的 过 渡 技术 ， 并 介绍 下 一 代 互 联网 研究 的 进展 情况 。 


YW Pv6 


基于 IPv4 的 因特网 已 运行 多 年 ， 随 着 网 络 应 用 的 普及 和 扩展 ，IPv4 协议 逐渐 暴露 出 一 些 

缺陷 ， 主 要 问题 如 下 。 

。 ”网 络 地 址 短缺 : IPv4 地 址 为 32 位 ， 只 能 提供 大 约 43 亿 个 地 址 ， 其 中 1/3 被 美国 占用 。 
IPv4 的 两 级 编 址 方案 造成 了 很 多 无 用 的 地 址 “空洞 ” 地 址 空间 浪费 很 大 。 另 一 方面 ， 
随 着 TCP/IP 应 用 的 扩大 ， 对 网 络 地址 的 需求 迅速 增加 ， 有 的 主机 分 别 属于 多 个 网 络 ， 
需要 多 个 人 P 地 址 , 有 些 非 主机 设备 , 例如 自动 柜员 机 和 有 线 电视 接收 机 也 要 求 分 配 下 
地 址 。 一 系列 新 需求 的 出 现 都 加 剧 了 人 P 地 址 的 紧缺 ， 虽 然 采 用 了 诸如 VLSM、CIDR 
和 NAT 等 辅助 技术 ， 但 是 并 没有 彻底 解决 问题 。 

。 路 由 速度 慢 : 随 着 网 络 规模 的 扩大 ， 路 由 表 越 来 越 庞大 ， 路 由 处 理 速度 越 来 越 慢 。 这 
是 因为 IPv4 头 部 多 达 13 个 字段 ， 路 由 器 处 理 的 信息 量 很 大 ， 而 且 大 部 分 处 理 操作 都 
要 用 软件 实现 ， 这 使 得 路 由 器 已 经 成 为 因特网 的 瓶颈 。 因 此 ， 设 法 简化 路 由 处 理 成 为 
提高 网 络 传输 速度 的 关键 技术 。 

。 ”缺乏 安全 功能 : 随 着 互联 网 的 广泛 应 用 ， 网 络 安全 成 为 迫切 需要 解决 的 问题 。IPv4 没 
有 提供 安全 功能 ， 阻 碍 了 互联 网 在 电子 商务 等 信息 敏感 领域 的 应 用 。 近 年 来 ， 在 IPv4 
基础 上 针对 不 同 的 应 用 领域 研究 出 了 一 些 安全 成 果 ， 例 如 IPSec、SLL 等 。 这 些 成 果 
需要 进一步 的 整合 ， 以 便 为 各 种 应 用 领域 提供 统一 的 安全 解决 方案 。 

。 不 支持 新 的 业务 模式 : IPv4 不 支持 许多 新 的 业务 模式 ， 例 如 语音 、 视 频 等 实时 信息 传 
输 需 要 QoS 支持 , P2P 应 用 还 需要 端 到 端的 QoS 支持 , 移动 通信 需要 灵活 的 接 入 控制 ， 
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也 需要 更 多 的 下 地 址 等 。 这 些 新 业务 的 出 现 对 互联 网 的 应 用 提出 了 一 些 难以 解决 的 问 
题 ， 需 要 对 现行 的 他 协议 做 出 根本 性 的 变革 。 
针对 IPv4 面临 的 问题 ，IETF 在 1992 年 7 月 发 出 通知 ， 征 集 对 下 一 代 下 协议 (IPng) 的 
建议 ,在 对 多 个 建议 筛选 的 基础 上 , IETF 于 1995 年 1 月 发 表 了 RFC 1752 (The Recommendation 
of the IP Next Generation Protocol)， 阐 述 了 对 下 一 代 了 P 的 需求 ， 定 义 了 新 的 协议 数据 单元 ， 这 
是 IPv6 研究 中 的 里 程 碑 事件 。 随 后 的 一 些 RFC 文档 给 出 了 IPv6 协议 的 补充 定义 ， 关 于 IPv6 
各 种 研究 成 果 都 包含 在 1998 年 12 月 发 表 的 RFC 2460 文档 中 。 


7.1.1 1IPv6 分 组 格式 


IPv6 协议 数据 单元 的 格式 如 图 7-1 (a) 所 示 ， 整 个 IPv6 分 组 由 一 个 固定 头 部 和 若干 个 扩 
展 头 部 以 及 上 层 协 议 的 负载 组 成 。 扩 展 头 部 是 任 选 的 ， 转 发 路 由 器 只 处 理 与 其 有 关 的 部 分 ， 这 
样 就 简化 了 路 由 器 的 转发 操作 ， 加 速 了 路 由 处 理 的 速度 。IPv6 的 固定 头 部 如 图 7-1 (b) 所 示 ， 
其 中 的 各 个 字段 解释 如 下 : 


Fi | 负载 长 度 跳 类 限制 
源 地 址 
扩展 头 部 
下 一 类 部 < 
| 扩展 头 部 
目标 地 址 
上 层 协议 
(a) 通用 格式 Cb) 固定 头 部 


图 7-1 IPv6 分 组 


e。 版 本 (4 位 ): 用 0110 指示 下 第 六 版 。 

。 ”通信 类 型 (8 位 ): 这 个 字段 用 于 区 分 不 同 的 下 分 组 ,相当 于 IPv4 中 的 服务 类 型 字段 ， 
通信 类 型 的 详细 定义 还 在 研究 和 实验 之 中 。 

。 ”流标 记 (20 位 ): 原 发 主机 用 该 字段 来 标识 某 些 需要 特别 处 理 的 分 组 ， 例 如 特别 的 服 
务 质量 或 者 实时 数据 传输 等 ， 流 标记 的 详细 定义 还 在 研究 和 实验 之 中 。 


。 负载 长 度 (16 位 ): 表示 除了 IPv6 固定 头 部 40 个 字 节 之 外 的 负载 长 度 ， 扩 展 头 包含 


在 负载 长 度 之 中 。 


。 下 一 头 部 (8 位 ): 指明 下 一 个 头 部 的 类 型 ， 可 能 是 IPv6 的 扩展 头 部 ， 也 可 能 是 高 层 


协议 的 头 部 。 


。 ” 跳 数 限制 (8 位 ): 用 于 检测 路 由 循环 ， 每 个 转发 路 由 器 对 这 个 字段 减 1， 如 果 变 成 0， 


分 组 被 丢弃 。 


。 源 地 址 (128 位 ): 发 送 节 点 的 地 址 。 

。 目标 地 址 (128 位 ): 接收 节点 的 地 址 。 

IPv6 有 6 种 扩展 头 部 ， 如 表 7-1 所 示 。 这 6 种 扩展 头 部 都 是 任 选 的 。 扩 展 头 部 的 作用 是 保 
留 IPv4 某 些 字段 的 功能 ， 但 只 是 由 特定 的 网 络 设备 来 检查 处 理 ， 而 不 是 每 个 设备 都 要 处 理 。 


表 7-1 IPv6 的 扩展 头 部 


头 部 名 称 


逐 跳 选 项 (hop-by-hop option ) 


目标 选项 (Destination option ) 
路 由 选择 (routing) 


分 段 (Fragmentation ) 
认证 (Authentication ) 
封装 安全 负荷 (Encrypted security payload) 


解释 
特大 净 负 荷 


、 四 yy Jumbograms 
些 信和 沿途 各 个 
这 些 信息 由 沿途 个 路 由 器 处 理 由 器 区 本 


Alert 


选项 中 的 信息 由 目标 节点 检查 处 理 

给 出 一 个 路 由 器 地 址 列表 组 成 , 类 似 于 IPv4 的 松散 源 路 
由 和 路 由 记录 

处 理 数据 报 的 分 段 问 题 

由 接收 者 进行 身份 认证 

对 分 组 内 容 进 行 加 密 的 有 关 信 息 


扩展 头 部 的 第 一 个 字 节 是 下 一 头 部 (Next Header) 选择 符 (图 7-2 (a))， 其 值 指明 了 下 一 
个 头 部 的 类 型 ， 例 如 60 表示 目标 选项 ，43 表示 源 路 由 ，44 表示 分 段 ，51 表示 认证 ，50 表示 
封装 安全 负 蓓 等 (http://www.iana.org/assignments/ipv6-parameters)，59 表示 没有 下 一 个 头 部 了 。 
由 于 逐 跳 选项 没有 指定 相应 的 编码 ， 所 以 它 如 果 出 现 要 放 在 所 有 扩展 头 部 的 最 前 面 ， 在 卫 v6 
头 部 的 “下 一 头 部 ”字段 中 用 0 来 指示 逐 跳 选项 的 存在 。 扩 展 头 部 的 第 二 个 字 节 表示 头 部 扩展 
长 度 (Hdr Ext Len)， 以 8 个 字 节 计数 ， 其 值 不 包含 扩展 头 部 的 前 8 个 字 节 。 也 就 是 说 ， 如 果 


扩展 头 部 只 有 8 个 字 节 ， 则 该 字段 为 0。 


逐 跳 选项 是 可 变 长 字段 ， 任 选 部 分 Options) 被 编码 成 类 型 -长 度 - 值 CTLV) 的 形式 ， 如 
图 7-2 (b) 所 示 。 类 型 (Type) 为 一 个 字 节 长 ， 其 中 前 两 位 指示 对 于 不 认识 的 头 部 如 何 处 理 ， 


其 编码 如 下 。 
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下 一 头 部 扩展 头 部 长 度 
任 选 部 分 
(a) 
任 选 类 型 ”| 任 选 数据 长 度 任 选 数据 


(b) 


图 7-2 包含 任 选 部 分 的 扩展 头 部 


。 ”00: 跳 过 该 任 选项 ， 继 续 处 理 其 他 头 部 。 

。 ”01: 丢弃 分 组 。 

。 ”10: 丢弃 分 组 ， 并 向 源 节点 发 送 ICMPv6 参数 问题 报 文 。 

。 11: 处 理 方法 同 前 ， 但 是 对 于 组 播 地 址 不 发 送 ICMP 报 文 〈 防 止 出 错 的 组 播 分 组 引起 


大 量 ICMP 报 文 )。 
长 度 (Length) 是 8 位 无 符号 整数 ， 表 示 任 选 数 据 部 分 包含 的 字 节 数 。 值 (Value) 是 相应 
类 型 的 任 选 数 据 。 


逐 跳 选项 包含 了 通路 上 每 个 路 由 器 都 必须 处 理 的 信息 ， 目 前 只 定义 了 两 个 选项 。“ 特 大 净 
负荷 ”选项 适用 于 传送 大 于 64K 的 特大 分 组 ， 以 便 有 效 地 利用 传输 介质 的 容量 传送 大 量 的 视频 
数据 “路 由 器 警戒 ”选项 (RFC 2711) 用 于 区 分 数据 报 封装 的 组 播 监听 发 现 (MLD) 报 文 、 
资源 预约 (RSVP) 报 文 以 及 主动 网 络 (Active Network) 报 文 等 ， 这 些 协议 可 以 利用 这 个 字段 
实现 特定 的 功能 。 

目标 选项 包含 由 目标 主机 处 理 的 信息 ， 例 如 预 留 缓冲 区 等 。 目 标 选 项 的 报 文 格式 与 逐 跳 先 
项 相同 。 

路 由 选择 扩展 头 的 格式 如 图 7-3 所 示 ， 其 中 的 路 由 类 型 字段 是 一 个 8 位 的 标识 符 ， 最 初 只 
定义 了 一 种 类 型 0， 用 于 表示 松散 源 路 由 。 未 用 段 表示 在 分 组 传送 过 程 中 尚未 使 用 的 路 由 段 数 
量 ， 这 个 字段 在 分 组 传送 过 程 中 逐渐 减少 ， 到 达 目 标 端 时 应 为 0。 路 由 类 型 0 的 分 组 格式 表示 
在 图 7-3 中 ,在 第 一 个 字 之 后 保留 一 个 字 ， 其 初始 值 为 0， 到 达 接 收 端 时 被 忽略 。 接 下 来 就 是 n 
个 IPv6 地 址 ， 指 示 通 路 中 要 经 过 的 路 由 器 。 
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下 一 头 部 | 扩展 头 部 长 度 | 路 由 类 型 = 0 未 用 和 
保留 的 一 个 字 


IPv6 地 址 1 


图 7-3 路 由 头 部 


分 段 扩展 头 表示 在 图 7-4 中 ， 其 中 包含 了 13 位 的 段 偏 置 值 (编号 )， 是 否 为 最 后 一 个 分 段 
的 标志 M， 以 及 数据 报 标识 符 ， 这 些 都 与 IPv4 的 规定 相同 。 与 IPv4 不 同 的 是 ,在 IPv6 中 只 能 
由 原 发 节点 进行 分 段 ， 中 间 路 由 器 不 能 分 段 ， 这 样 就 简化 了 路 由 过 程 中 的 分 段 处 理 。 
[下 ;部 [| 保留 |  _ 段 偏 置 值 [sw[™l 
图 7-4 分 段 头 部 


认证 和 封装 安全 负荷 的 详细 介绍 已 经 超出 了 本 书 的 范围 ， 读 者 可 参考 有 关 IPSec 的 资料 。 

如 果 一 个 IPv6 分 组 包含 多 个 扩展 头 ， 建 议 采 用 下 面 的 封装 顺序 : 

(1) IPv6 头 部 。 

(2) 逐 跳 选 项 头 。 

(3) 目标 选项 头 (IPv6 头 部 目标 地 址 字段 中 指明 的 第 一 个 目标 节点 要 处 理 的 信息 ， 以 及 路 
由 选择 头 中 列 出 的 后 续 目 标 节点 要 处 理 的 信息 )。 

(4) 路 由 选择 头 。 

(5) 分 段 头 。 

(6) 认证 头 。 

(7) 封装 安全 负荷 头 。 

(8) 目标 选项 头 〈 最 后 的 目标 节点 要 处 理 的 信息 )。 

(9) 上 层 协 议 头 部 。 
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7.1.2 1IPv6 地 址 


JIPv6 地 址 扩展 到 128 位 。2” 足 够 大 ， 这 个 地 址 空间 可 能 永远 用 不 完 。 事实 上 ， 这 个 数 大 
于 阿 伏 加 德 罗 常 数 ， 足够 为 地 球 上 的 每 个 分 子 分 配 一 个 中 地址。 用 一 个 形象 的 说 法 , 这 样 大 的 
地 址 空间 允许 整个 地 球 表面 上 每 平方 米 配置 7x10” 个 他 地址 。 

IPv6 地 址 采用 冒号 分 隔 的 十 六 进 制 数 表 示 ， 例 如 下 面 是 一 个 IPv6 地 址 : 

8000:0000:0000:0000:0123:4567:89AB:CDEF 

为 了 便于 书写 ， 规 定 了 一 些 简化 写法 。 首 先 ， 每 个 字段 前 面 的 0 可 以 省 去 ， 例 如 0123 可 
以 简写 为 123; 其 次 ， 一 个 或 多 个 全 0 字段 0000 可 以 用 一 对 冒号 代替 。 例 如 ， 以 上 地 址 可 简 
写 为 : 

8000::123:4567:89AB:CDEF 

另外 ，IPv4 地 址 仍然 保留 十 进 制 表示 法 ， 只 需要 在 前 面 加 上 一 对 冒号 ， 就 成 为 IPv6 地 址 ， 
称 为 IPv4 兼容 地 址 (IPv4 Compatible)， 例 如 : 

::192.168.10.1 


1. 格式 前 组 


IPv6 地 址 的 格式 前 级 (Format Prefixg，FP) 用 于 表示 地 址 类 型 或 子 网 地 址 ， 用 类 似 于 IPv4 
CIDR 的 方法 可 表示 为 “IPv6 地 址 /前 绥 长 度 ” 的 形式 。 例 如 60 位 的 地 址 前 组 12AB00000000CD3 
有 下 列 几 种 合法 的 表示 形式 : 

12AB:0000:0000:CD30:0000:0000:0000:0000/60 

12AB::CD30:0:0:0:0/60 

12AB:0:0:CD30::/60 

下 面 的 表示 形式 是 不 合法 的 : 

12AB:0:0:CD3/60〈 在 16 位 的 字段 中 可 以 省 掉 前 面 的 0， 但 不 能 省 掉 后 面 的 0) 

12AB::CD30/60( 这 种 表示 可 展开 为 12AB:0000:0000:0000:0000:0000:0000:CD30) 

12AB::CD3/60( 这 种 表示 可 展开 为 12AB:0000:0000:0000:0000:0000:0000:0CD3) 

一 般 来 说 ， 节 点 地 址 与 其 子 网 前 级 组 合 起 来 可 采用 紧缩 形式 表示 ， 例 如 节点 地 址 : 

12AB:0:0:CD30:123:4567:89AB:CDEF 

若 其 子 网 号 为 12AB:0:0:CD30::/60， 则 等 价 的 写法 是 12AB:0:0:CD30:123:4567:89AB:CDEF/60。 


2， 地 址 分 类 


JPv6 地 址 是 一 个 或 一 组 接口 的 标识 符 。IPv6 地 址 被 分 配 到 接口 ， 而 不 是 分 配给 节点 。IPv6 
地 址 有 3 种 类 型 : 


1) 单 播 (Unicast) 地址 

单 播 地 址 是 单个 网 络 接口 的 标识 符 。 对 于 有 多 个 接口 的 节点 ， 其 中 任何 一 个 单 播 地 址 都 可 
以 用 作 该 节点 的 标识 符 。 但 是 为 了 满足 负载 平衡 的 需要 ， 在 RFC 2373 中 规定 ， 只 要 在 实现 中 
多 个 接口 看 起 来 形 同 一 个 接口 就 允许 这 些 接口 使 用 同一 地 址 。IPv6 的 单 播 地址 是 用 一 定 长 度 的 
格式 前 绥 汇 聚 的 地 址 ， 类 似 于 IPv4 中 的 CIDR 地 址 。 在 单 播 地 址 中 有 下 列 两 种 特殊 地 址 。 

。 不 确定 地 址 : 地 址 0:0:0:0:0:0:0:0 称 为 不 确定 地 址 ， 不 能 分 配给 任何 节点 。 不 确定 地 址 
可 以 在 初始 化 主机 时 使 用 , 在 主机 未 取得 地 址 之 前 , 它 发 送 的 IPv6 分 组 中 的 源 地 址 字 
段 可 以 使 用 这 个 地 址 。 这 种 地 址 不 能 用 作 目 标 地 址 ， 也 不 能 用 在 IPv6 路 由 头 中 。 

。 ”回环 地 址 : 地 址 0:0:0:0:0:0:0:1 称 为 回环 地 址 ， 节 点 用 这 种 地 址 向 自身 发 送 IPv6 分 组 。 

这 种 地 址 不 能 分 配给 任何 物理 接口 。 

2) 任意 播 (AnyCast) 地 址 

这 种 地 址 表示 一 组 接口 (可 属于 不 同 节点 ) 的 标识 符 。 发 往 任意 播 地 址 的 分 组 被 送 给 该 地 
址 标识 的 接口 之 一 ， 通 常 是 路 由 距离 最 近 的 接口 。 对 IPv6 任意 播 地 址 存在 下 列 限制 ; 

。 任意 播 地 址 不 能 用 作 源 地 址 ， 而 只 能 作为 目标 地 址 。 

。 任意 播 地 址 不 能 指定 给 IPv6 主机 ， 只 能 指定 给 IPv6 路 由 器 。 

3) 组 播 (MultiCast) 地 址 

组 播 地 址 是 一 组 接口 〈 一 般 属于 不 同 节点 ) 的 标识 符 ， 发 往 组 播 地 址 的 分 组 被 传送 给 该 地 
址 标识 的 所 有 接口 。IPv6 中 没有 广播 地 址 ， 它 的 功能 已 被 组 播 地址 所 代替 。 

在 IPv6 地 址 中 ， 任 何 全 “0” 和 全 “1” 字 段 都 是 合法 的 ， 除 非特 别 排除 的 之 外 。 特 别 是 
前 缀 可 以 包含 “0” 值 字段 ， 也 可 以 用 “0” 作 为 终结 字段 。 一 个 接口 可 以 被 赋予 任何 类 型 的 多 
个 地 址 〈 单 播 、 任 意 播 、 组 播 ) 或 地 址 范围 。 


3， 地址 类 型 初始 分 配 


IPv6 地 址 的 具体 类 型 是 由 格式 前 绥 来 区 分 的 ， 这 些 前 组 的 初始 分 配 如 表 7-2 所 示 。 
表 7-2 IPv6 地 址 的 初始 分 配 


分 配 前 缀 〈 二 进 制 ) 占 地 址 空间 的 比例 
保留 0000 0000 1/256 
未 分 配 0000 000 11/256 
为 NSAP 地 址 保留 0000 001 1/128 
为 IPX 地 址 保留 0000 010 1/128 
未 分 配 0000 011 1/128 
未 分 配 0000 1 1/32 


未 分 配 1/16 
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分 配 占 地 址 空间 的 比例 
可 聚合 全 球 单 播 地 址 1/8 
未 分 配 1/8 
未 分 配 1/8 
未 分 配 1/8 
未 分 配 1/8 
未 分 配 1/8 
未 分 配 1/16 
未 分 配 1/32 
未 分 配 1111 10 1/64 
未 分 配 Vl28 
未 分 配 vs12 
链 路 本 地 单 播 地 址 | umolo | 1/1024 
站 点 本 地 单 播 地 址 | Halloll | 1/1024 
组 播 地 址 | nm | 1/256 


地 址 空间 的 15% 是 初始 分 配 的 ， 其 余 85% 的 地 址 空间 留 作 将 来 使 用 。 这 种 分 配方 案 支 持 可 
聚合 地 址 、 本 地 地 址 和 组 播 地 址 的 直接 分 配 ， 并 保留 了 SNAP 和 IPX 的 地 址 空间 ， 其 余 的 地 址 
空间 留 给 将 来 的 扩展 或 者 新 的 用 途 。 单 播 地 址 和 组 播 地址 都 是 由 地 址 的 高 阶 字 节 值 来 区 分 的 : 
FF (1111 1111) 标识 一 个 组 播 地 址 ， 其 他 值 则 标识 一 个 单 播 地 址 ， 任 意 播 地 址 取 自 单 播 地 址 空 

间 ， 与 单 播 地 址 在 语法 上 无 法 区 分 。 


4. 单 播 地 址 


IPv6 单 播 地 址 包括 可 聚合 全 球 单 播 地 址 、 链 路 本 地 地 址 、 站 点 本 地 地 址 和 其 他 特殊 单 播 
地 址 。 

(1) 可 聚合 全 球 单 播 地 址 : 这 种 地 址 在 全 球 范围 内 有 效 ， 相 当 于 IPv4 公用 地 址 。 全 球 地 
址 的 设计 有 助 于 构架 一 个 基于 层次 的 路 由 基础 设施 。 可 聚合 全 球 单 播 地 址 结构 如 图 7-5 所 示 。 


13 8 24 16 64 | 
i TEA 1 NLA SLA 二 接 DID 


图 7-5 可 聚合 全 球 单 播 地 址 


可 聚合 全 球 单 播 地址 的 格式 前 绥 为 001， 随 后 的 顶级 聚合 体 TLA (Top Level Aggregator)、 
下 级 聚合 体 NLA (Next Level Aggregator) 以 及 站 点 级 聚合 体 SLA (Site Level Aggregator) 构 


第 7 章 下 - 代 蕊 联网 “图 273 苦 


成 了 自 项 向 下 的 3 级 路 由 层次 结构 (如 图 7-6 所 示 )。TLA 是 远程 服务 供应 商 的 骨干 网 接 入 点 ， 
TLA 向 地 区 互联 网 注册 机 构 RIR (ARIN、RIPE NCC、APNIC 等 ) 申请 IPv6 地 址 块 ，TLA 之 
下 就 是 商业 地 址 分 配 范 围 。NLA 是 一 般 的 ISP， 它 们 把 从 TLA 申请 的 地 址 分 配给 SLA， 各 个 
站 点 级 聚合 体 再 为 机 构 用 户 或 个 人 用 户 分 配 地 址 。 分 层 结构 的 最 底层 是 主机 接口 ， 通 常 是 在 3 
机 的 48 位 MAC 地 址 前 面 填充 0xFFFE 构成 的 接口 D。 


出 


Regional 
Jnternet 


(RIR) 


主干 网 提供 商 


ISP 


ARIN: American Registry for Intemet Numbers; 
RIPE — NCC: Réseau IP Européens - Network Coordination Centre in Europe; 
APNIC: Asia Pacific Network Information Centre; 


图 7-6 可 聚合 全 球 单 播 地 址 层次 结构 


(2) 本 地 单 播 地 址 : 这 种 地 址 的 有 效 范围 仅 限 于 本 地 ， 又 分 为 两 类 。 

。 ” 链 路 本 地 地 址 ， 其 格式 前 级 为 1111 1110 10， 用 于 同一 链 路 的 相 邻 节点 间 的 通信 。 链 
路 本 地 地 址 相当 于 IPv4 中 的 自动 专用 下 地 址 (APIPA)， 可 用 于 邻居 发 现 ， 并 且 总 是 
自动 配置 的 ， 包 含 链 路 本 地 地 址 的 分 组 不 会 被 路 由 器 转发 。 

。 站 点 本 地 地 址 : 其 格式 前 绥 为 1111 1110 11， 相 当 于 IPv4 中 的 私 网 地 址 。 如 果 企业 内 
部 网 没有 连接 到 Intemet 上 ， 则 可 以 使 用 这 种 地 址 。 站 点 本 地 地 址 不 能 被 其 他 站 点 访 
问 ， 包 含 这 种 地 址 的 分 组 也 不 会 被 路 由 器 转发 到 站 点 之 外 。 


$5. 组 播 地 址 


IPv6 组 播 可 以 将 数据 报 传输 给 组 内 的 所 有 成 员 。IPv6 组 播 地 址 的 格式 前 级 为 1111 1111， 
此 外 还 包括 标志 (Flags)、 范 围 和 组 D 等 字段 ， 如 图 7-7 所 示 。 


4 4 112 
Eu = = GroupD | 


图 7-7 IPv6 组 播 地 址 
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Flags 可 表示 为 000T，T=0 表示 被 IANA 永久 分 配 的 组 播 地 址 ; T=1 表示 临时 的 组 播 地 址 。 
Scope 是 组 播 范 围 字段 ， 表 7-3 列 出 了 在 RFC 2373 中 定义 的 Scope 的 值 。Group ID 标识 了 一 个 
给 定 范 围 内 的 组 播 组 。 永 久 分 配 的 组 播 组 ID 与 范围 字段 无 关 ， 临 时 分 配 的 组 播 组 ID 在 特定 的 
范围 内 有 效 。 


表 7-3 Scope 字段 值 
范围 
保留 
节点 本 地 范围 
链 路 本 地 范围 
站 点 本 地 范围 
机 构 本 地 范围 
全 球 范围 
保留 


6. 任意 播 地 址 


任意 播 地 址 仅 用 作 目 标 地址 ， 且 只 能 分 配给 路 由 器 。 任 意 播 地 址 是 在 单 播 地 址 空间 中 分 配 
的 。 一 个 子 网 内 的 所 有 路 由 器 接口 都 被 分 配 了 子 网 -路 由 器 任意 播 地 址 。 子 网 -路 由 器 任意 播 地 
址 必须 在 子 网 前 级 中 进行 预定 义 。 为 构造 一 个 子 网 -路 由 器 任意 播 地 址 ， 子 网 前 级 必须 固定 ,其 
余 位 置 全 “0”， 如 图 7-8 所 示 。 


图 7-8 子 网 -路 由 器 任意 播 地 址 
表 7-4 是 IPv4 与 了 Pv6 地 址 的 比较 。 


表 7-4 IPv4 和 IPv6 地 址 比较 
IPv6 地 址 
带 冒 号 的 十 六 进 制 表 示 ，0 压缩 


IPv4 地 址 
点 分 十 进 制 表 示 


分 为 A、B、C、D、E5 类 不 分 类 
组 播 地 址 224.0.0.0/4 组 播 地 址 FF00::/8 

广播 地 址 (主机 部 分 为 全 1) 任意 播 ( 限 于 子 网 内 部 ) 
默认 地 址 0.0.0.0 不 确定 地 址 :: 

回环 地 址 127.0.0.1 回环 地 址 ::1 


公共 地 址 可 聚合 全 球 单 播 地 址 FP 二 001 


IPv4 地 址 
私 网 地 址 10.0.0.0/8; 
172.16.0.0/12; 192.168.0.0/16 
自动 专用 他 地 址 169.254.0.0/16 


IPv6 地 址 
站 点 本 地 地 址 FECO::/48 


链 路 本 地 地 址 FE8O::/48 


7， 了 PPv6 的 地 址 配置 


IPv6 把 自动 正 地 址 配置 作为 标准 功能 ， 只 要 计算 机 连接 上 网 络 便 可 自动 分 配 卫 地 址 。 这 
样 做 有 两 个 优点 ， 一 是 最 终 用 户 无 须 花 精力 进行 地 址 设置 ， 二 是 可 以 大 大 减轻 网 络 管理 者 的 负 
担 。IPv6 有 两 种 自动 配置 功能 ， 一 种 是 “全 状态 自动 配置 ” 另 一 种 是 “无 状态 自动 配置 ”。 

在 IPv4 中 ， 动 态 主机 配置 协议 (DHCP) 实现 了 卫 地 址 的 自动 设置 。Pv6 继承 了 IPv4 的 
这 种 自动 配置 服务 ， 并 将 其 称 为 全 状态 自动 配置 (Stateful Auto-Configuration ) 。 

在 无 状态 自动 配置 (Stateless Auto-Configuration) 过 程 中 ， 主 机 通过 两 个 阶段 分 别 获 得 链 
路 本 地 地 址 和 可 聚合 全 球 单 播 地 址 。 首 先 主机 将 其 网 卡 MAC 地 址 附加 在 链 路 本 地 地 址 前 绥 
1111 1110 10 之 后 , 产生 一 个 链 路 本 地 地 址 , 并 发 出 一 个 ICMPv6 邻居 发 现 (Neighbor Discovery) 
请 求 ， 以 验证 其 地 址 的 唯一 性 。 如 果 请 求 没有 得 到 响应 ， 则 表明 主机 自我 配置 的 链 路 本 地 地 址 
是 唯一 的 。 和 否则 ， 主 机 将 使 用 一 个 随机 产生 的 接口 ID 组 成 一 个 新 的 链 路 本 地 地 址 。 获 得 链 路 
本 地 地 址 后 ， 主 机 以 该 地 址 为 源 地 址 ， 向 本 地 链 路 中 所 有 路 由 器 的 组 播 ICMPv6 路 由 器 请 求 
(Router Solicitation) 报 文 ， 路 由 器 以 一 个 包含 可 聚合 全 球 单 播 地址 前 组 的 路 由 器 公告 (Router 
Advertisement) 报 文 响应 。 主 机 用 从 路 由 器 得 到 的 地 址 前 绥 加 上 自己 的 接口 ID， 自动 配置 一 个 
全 球 单 播 地 址 ， 这 样 就 可 以 与 Internet 中 的 任何 主机 进行 通信 了 。 使 用 无 状态 自动 配置 ， 无 须 
用 户 手工 干预 就 可 以 改变 主机 的 卫 v6 地 址 。 


7.1.3 1Pv6 路 由 协议 


IPv6 单 播 路 由 协议 与 Pv4 类 似 ， 有 些 是 在 原 有 协议 基础 上 进行 了 简单 的 扩展 ， 有 些 则 完 
全 是 新 的 版 本 。 


1. RIPng 


下 一 代 RIP 协议 (RIPng) 是 对 原来 的 RIPV2 的 扩展 。 大 多 数 RIP 的 概念 都 可 以 用 于 RIPng。 
为 了 在 IPv6 网 络 中 应 用 ，RIPng 对 原 有 的 RIP 协议 进行 了 以 下 修改 。 
。 UDP 端口 号 : 使 用 UDP 的 521 端口 发 送 和 接收 路 由 信息 。 
。 组 播 地 址 : 使 用 FF02::9 作为 链 路 本 地 范围 内 的 RIPng 路 由 器 组 播 地址 。 
。 ”路 由 前 级 : 使 用 128 位 的 IPv6 地 址 作为 路 由 前 绥 。 
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。 下 一 跳 地 址 : 使 用 128 位 的 IPv6 地 址 。 


2. OSPFv3 


RFC 2740 定义 了 OSPFv3， 用 于 支持 PvV6。OSPFv3 与 OSPFv2 的 主要 区 别 如 下 : 

(1) 修改 了 LSA 的 种 类 和 格式 ， 使 其 支持 发 布 Pv6 路 由 信息 。 

(2) 修改 了 部 分 协议 流程 。 主 要 的 修改 包括 用 Router-ID 来 标识 邻居 ， 使 用 链 路 本 地 地 址 
来 发 现 邻 居 等 ， 使 得 网 络 拓扑 本 身 独立 于 网 络 协 议 ， 以 便于 将 来 扩展 。 

(3) 进一步 理 顺 了 拓扑 与 路 由 的 关系 。OSPFv3 在 LSA 中 将 拓扑 与 路 由 信息 相 分 离 , 在 一 、 
二 类 LSA 中 不 再 携带 路 由 信息 ， 而 只 是 单纯 的 拓扑 描述 信息 ， 另 外 增加 了 八 、 九 类 LSA， 结 
合 原 有 的 三 、 五 、 七 类 LSA 来 发 布 路 由 前 级 信息 。 

(4) 提高 了 协议 适应 性 。 通 过 引入 LSA 扩散 范围 的 概念 进一步 明确 了 对 未 知 LSA 的 处 理 
流程 ， 使 得 协议 可 以 在 不 识别 LSA 的 情况 下 根据 需要 做 出 恰当 处 理 ， 提 高 了 协议 的 可 扩展 性 。 


3. BGP4+ 


传统 的 BGP 4 只 能 管理 IPv4 的 路 由 信息 ， 对 于 使 用 其 他 网 络 层 协议 (如 IPv6 等 ) 的 应 用 ， 
在 跨 自 治 系统 传播 时 会 受到 一 定 的 限制 .为 了 提供 对 多 种 网 络 层 协议 的 支持 , IETF 发 布 的 RFC 
2858 文档 对 BGP 4 进行 了 多 协议 扩展 ， 形 成 了 BGP 4+。 

为 了 实现 对 IPv6 协 议 的 支持 ,BGP 4+ 必 须 将 IPv6 网 络 层 协 议 的 信息 反映 到 NLRICNetwork 
Layer Reachable Information) 及 Next_Hop 属性 中 。 为 此 ， 在 BGP4+ 中 引入 了 下 面 两 个 NLRI 
属性 。 

。 MP _REACH NLRI: 多 协议 可 到 达 NLRI， 用 于 发 布 可 到 达 路 由 及 下 一 跳 信息 。 

。 MP_UNREACH NLRI: 多 协议 不 可 达 NLRI， 用 于 撤销 不 可 达 路 由 。 

BGP 4+ 中 的 Next_Hop 属性 用 IPv6 地 址 来 表示 ， 可 以 是 IPv6 全 球 单 播 地 址 或 者 下 一 跳 的 
链 路 本 地 地 址 。BGP 4 原 有 的 消息 机 制 和 路 由 机 制 没 有 改变 。 


4. ICMPv6 协议 


ICMPv6 协议 用 于 报告 IPv6 节点 在 数据 包 处 理 过 程 中 出 现 的 错误 消息 , 并 实现 简单 的 网 络 
诊断 功能 。ICMPv6 新 增加 的 邻居 发 现 功能 代替 了 ARP 协议 的 功能 ， 所 以 在 IPv6 体系 结构 中 
已 经 没有 ARP 协议 了 。 除 了 支持 IPv6 地 址 格式 之 外 ，ICMPv6 还 为 支持 IPv6 中 的 路 由 优化 、 
四 组 播 、 移 动人 P 等 增加 了 一 些 新 的 报 文 类 型 ， 择 其 要 者 列举 如 下 : 

类 型 码 含义 RFC 文 档 

127 Reserved for expansion of ICMPV6 error messages [RFC 4443] 

130 Multicast Listener Query [RFC 2710] 
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131 Multicast Listener Report [RFC 2710] 
132 Multicast Listener Done [RFC 2710] 
133 Router Solicitation [RFC 4861] 
134 Router Advertisement [RFC 4861] 
135 Neighbor Solicitation [RFC 4861] 
136 Neighbor Advertisement [RFC 4861] 
139 ICMP Node Information Query [RFC 4620] 
140 ICMP Node Information Response [RFC 4620] 
141 Inverse Neighbor Discovery Solicitation Message [RFC 3122] 
142 Inverse Neighbor Discovery Advertisement Message [RFC 3122] 
144 Home Agent Address Discovery Request Message [RFC 3775] 
145 Home Agent Address Discovery Reply Message [RFC 3775] 
146 Mobile Prefix Solicitation [RFC 3775] 
147 Mobile Prefix Advertisement [RFC 3775] 
148 Certification Path Solicitation Message [RFC 3971] 
149 Certification Path Advertisement Message [RFC 3971] 
151 Multicast Router Advertisement [RFC 4286] 
152 Multicast Router Solicitation [RFC 4286] 
153 Multicast Router Termination [RFC 4286] 


7.1.4 1IPv6 对 IPv4 的 改进 


与 IPv4 相 比 ，IPv6 有 下 列 改 进 : 

(1) 寻 址 能 力 方面 的 扩展 。 人 P 地 址 增加 到 128 位 ， 并 且 能 够 支持 多 级 地 址 层次 ;， 地址 自动 
配置 功能 简化 了 网 络 地 址 的 管理 工作 ; 在 组 播 地 址 中 增加 了 范围 字段 ， 改 进 了 组 播 路 由 的 可 伸 
缩 性 ;增加 的 任意 播 地址 比 IPv4 中 的 广播 地 址 更 加 实用 。 

(2) 分 组 头 格式 得 到 简化 。IPv4 头 中 的 很 多 字段 被 丢弃 ，IPv6 头 中 字段 的 数量 从 12 个 降 
到 了 8 个， 中 间 路 由 器 必须 处 理 的 字段 从 6 个 降 到 了 4 个， 这 样 就 简化 了 路 由 器 的 处 理 过 程 ， 
提高 了 路 由 选择 的 效率 。 

(3) 改进 了 对 分 组 头 部 选项 的 支持 。 与 IPv4 不 同 ， 路 由 选项 不 再 集成 在 分 组 头 中 ， 而 是 
把 扩展 头 作为 任 选项 处 理 , 仅 在 需要 时 才 插入 到 IPv6 头 与 负载 之 间 。 这 种 方式 使 得 分 组 头 的 处 
理 更 灵活 ， 也 更 流畅 。 以 后 如 果 需 要 ， 还 可 以 很 方便 地 定义 新 的 扩展 功能 。 

(4) 提供 了 流标 记 能 力 。IJPv6 增加 了 流标 记 ， 可 以 按照 发 送 端的 要 求 对 某 些 分 组 进行 特别 
的 处 理 ， 从 而 提供 了 特别 的 服务 质量 支持 ， 简 化 了 对 多 媒体 信息 的 处 理 ， 可 以 更 好 地 传送 具有 
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实时 需求 的 应 用 数据 。 
7.2 移动 IP 


当 笔记 本 电脑 迅速 普及 的 时 候 ， 很 多 用 户 因为 不 能 在 异地 连 网 而 感到 苦恼 。 在 当前 使 用 的 
系统 中 ，IPv4 地 址 分 为 网 络 地 址 和 主机 地 址 两 个 部 分 。 当 用 户主 机 配置 了 静态 地 址 (例如 
160.40.20.10/16) 时 ， 所 有 路 由 器 中 都 记录 了 到 达 该 网 络 (160.40) 的 路 由 ， 若 用 户 不 在 自己 的 
局 域 网 中 ， 就 收 不 到 发 送 给 他 的 信息 了 。 在 新 的 连 网 地 点 配置 一 个 新 地 址 的 方法 缺乏 吸引 力 ， 
一 般 用 户 难以 掌握 重新 配置 地 址 的 工作 , 即使 重新 配置 后 , 也 可 能 影响 主机 中 的 各 种 应 用 软件 。 

解决 这 个 问题 的 另 一 种 思路 是 在 路 由 器 中 使 用 完整 的 人 P 地 址 进行 路 由 选择 ， 但 这 样 就 会 
大 大 增加 路 由 表 项 ， 使 得 路 由 设备 的 工作 效率 更 低 ， 所 以 也 是 行 不 通 的 。 

那么 ， 能 和 否 在 新 的 连 网 地 点 自动 重新 建立 连接 ， 从 依赖 于 固定 地 点 的 连接 过 渡 到 灵活 的 移 
动 连接 是 一 个 新 的 研究 课题 ， 为 此 ，IETF 成 立 了 专门 的 工作 组 ， 并 预 设 了 下 列 研究 目标 : 

。 ”移动 主机 能 够 在 任何 地 方 使 用 它 的 家 乡 地 址 进行 连 网 。 

。 不 允许 改变 主机 中 的 软件 。 

。 不 允许 改变 路 由 器 软件 和 路 由 表 的 结构 。 

。 ”发 送 给 移动 主机 的 大 部 分 分 组 不 需要 重新 路 由 。 

。 ”移动 主机 在 家 乡 网 络 中 的 上 网 活动 无 须 增加 任何 开销 。 

IETF 给 出 的 解决 方案 是 RFC 3344 (IP Mobility Support for IPv4) 和 RFC 3775 (Mobility 
Support in IPv6)。 这 一 节 讲述 这 两 个 标准 的 主要 内 容 。 


7.2.1 移动 IP 的 通信 过 程 


RFC 3344 给 出 的 解决 方案 是 增强 IPv4 协议 , 使 其 能 够 把 下 数据 报 路 由 到 移动 主机 当前 所 
在 的 连接 站 点 。 按 照 这 个 方案 ， 每 个 移动 主机 配置 了 一 个 家 乡 地 址 (home address) 作为 永久 
标识 。 当 移动 主机 离开 家 乡 网 络 时 ,通过 所 在 地 点 的 外 地 代理 , 它 被 赋予 了 一 个 转交 地 址 (care-of 
address)。 协 议 提 供 了 一 种 注册 机 制 ， 使 得 移动 主机 可 以 通过 家 乡 地 址 获得 转交 地 址 。 家 乡 代 
理 通过 安全 隧道 可 以 把 分 组 转发 给 外 地 代理 ， 然 后 被 提交 给 移动 主机 。 

图 7-9 表示 了 一 个 连接 局 域 网 、 城 域 网 和 无 线 通 信 网 的 广域网 。 在 连 网 的 计算 机 中 ， 有 一 
类 主机 用 铜 缆 或 光纤 连接 在 局 域 网 中 ， 从 来 不 会 移动 ， 我 们 认为 这 些 主机 是 静止 的 。 可 以 移动 
的 主机 有 两 类 ， 一 类 基本 上 是 静止 的 ， 只 是 有 时 候 从 一 个 地 点 移动 到 另 一 个 地 点 ， 并 且 在 任何 
地 点 都 可 以 通过 有 线 或 无 线 连接 进入 Internet; 另 一 类 是 在 运动 中 进行 计算 的 主机 , 它 通过 在 无 
线 通 信 网 中 漫游 来 保持 网 络 连接 。 我 们 所 说 的 移动 主机 包括 了 这 两 类 主机 ， 也 就 是 说 ， 移 动 主 
机 是 指 在 离开 家 乡 网 络 的 远程 站 点 可 以 连 网 工作 的 计算 机 。 
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图 7-9 连接 局 域 网 和 无 线 通信 网 的 广域网 


假定 所 有 移动 主机 都 有 一 个 固定 不 变 的 家 乡 站 点 ， 同 时 也 有 一 个 固定 不 变 的 家 乡 地 址 来 定 
位 它 的 家 乡 网 络 。 这 种 家 乡 地 址 就 像 固定 电话 号 码 一 样 ， 分 别 用 国家 代码 、 地 区 代码 和 座机 号 
来 定位 电话 机 所 在 的 地 理 位 置 .在 图 7-9 所 示 的 WAN 中 ,每 个 局 域 网 中 都 有 一 个 家 乡 代理 (home 
agent) 进程 ， 它 们 的 任务 是 跟踪 属于 本 地 网 络 而 又 在 外 地 连 网 的 移动 主机 ; 同时 还 有 一 个 外 地 
代理 (foreign agent) 进程 ， 其 任务 是 监视 所 有 进行 异地 访问 的 移动 主机 。 当 移动 主机 进入 一 个 
站 点 时 ， 无 论 是 插入 当地 的 网 络 接口 还 是 漫游 到 当地 的 蜂 窜 小区， 主机 都 必须 向 附近 的 外 地 代 
理 进 行 注册 ， 注 册 过 程 如 下 : 

(1) 外 地 代理 周期 性 地 广播 一 个 公告 报 文 ， 宣 布 自己 的 存在 和 自己 的 地 址 ， 新 到 达 的 主机 
等 待 这 样 的 消息 。 如 果 没 有 及 时 得 到 这 个 消息 ， 移 动 主机 可 以 主动 广播 一 个 分 组 来 寻找 附近 的 
外 地 代理 。 

(2) 移动 主机 在 外 地 代理 上 进行 注册 ， 提 供 它 的 家 乡 地 址 、MAC 地 址 和 必要 的 安全 信息 。 

(3) 外 地 代理 与 移动 主机 的 家 乡 代理 进行 联系 ， 告 诉 外 地 代理 的 地 址 以 及 有 关 移 动 主 机 的 
安全 信息 ， 使 得 家 乡 代理 可 以 进行 验证 ， 确 保 不 被 假冒 者 欺骗 。 

(4) 家 乡 代理 检查 安全 信息 正确 后 发 回 一 个 响应 ， 通 知 外 地 代理 (通信 可 以 继续 进行 )。 

(5) 当 外 地 代理 得 到 家 乡 代理 的 响应 后 就 通知 移动 主机 (注册 成 功 )， 移 动 主机 这 时 被 分 
配 了 一 个 转交 地 址 。 

以 后 的 通信 过 程 如 图 7-10 所 示 。 如 果 有 另外 一 个 主机 向 移动 主机 发 送信 息 ， 则 : 

(1) 第 一 个 分 组 被 发 送 到 移动 主机 的 家 乡 地 址 。 

(2) 第 一 个 分 组 通过 隧道 被 转发 到 移动 主机 的 转交 地 址 。 

(3) 家 乡 代理 向 发 送 节点 返回 外 地 代理 的 转交 地 址 。 

(4) 发 送 节点 把 后 续 分 组 通过 隧道 发 送 给 移动 主机 的 转交 地 址 。 

移动 人 P 提供 了 两 种 获取 转交 地 址 的 方式 。 一 种 是 外 地 代理 转交 地 址 (Foreign Agent Care-of 
Address)， 这 种 转交 地 址 是 外 地 代理 在 它 的 代理 公告 报 文中 提供 的 地 址 ， 也 就 是 外 地 代理 的 人 ? 
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地 址 。 在 这 种 情况 下 ， 外 地 代理 是 隧道 的 终点 。 接 收 到 隧道 中 的 数据 后 ， 外 地 代理 要 提取 出 封 
装 的 数据 报 并 提交 给 移动 主机 。 这 种 获取 方式 的 好 处 是 允许 多 个 移动 主机 共享 同一 转交 地 址 ， 
因而 不 会 对 有 限 的 下 地 址 空间 提出 过 多 的 需求 。 


Wireless 发 送 结 点 > 


Cell 


图 7-10 移动 主机 的 通信 过 程 


另外 一 种 获取 模式 是 配置 转交 地 址 (Collocated Care-of Address)， 是 暂时 分 配给 移动 节点 


个 配置 转交 地 址 只 能 被 一 个 移动 节点 使 用 ,可 以 是 通过 DHCP 服务 器 动态 分 配 的 地 址 , 或 是 在 
地 址 缓冲 池 中 选取 的 私 网 地 址 。 这 种 获取 方式 的 好 处 是 移动 主机 成 为 隧道 的 终点 ， 由 移动 主机 
自己 从 隧道 中 提取 发 送 给 它 的 分 组 。 

使 用 配置 转交 地 址 还 有 一 个 好 处 ， 就 是 移动 主机 也 可 以 在 没有 配置 外 地 代理 的 网 络 中 工 
作 。 但 是 这 种 方案 对 有 限 的 IPv4 地 址 空间 增加 了 很 大 的 负担 , 在 外 部 网 络 中 需要 配置 一 个 地 址 
缓冲 池 ， 以 备 移动 主机 来 访问 。 
重要 的 是 要 认真 区 分 转交 地 址 和 外 地 代理 的 功能 。 转 交 地 址 是 隧道 的 终点 ， 它 可 能 是 外 地 
代理 的 地 址 (foreign agent care-of address), 也 可 能 是 移动 主机 获得 的 临时 地 址 (co-located care-of 
address)。 外 地 代理 与 家 乡 代 理 一 样 ， 都 是 为 移动 主机 服务 的 移动 代理 。 


7.2.2 移动 IPv6 


RFC 3775 规范 了 IPv6 对 移动 主机 的 支持 功能 ， 定 义 的 协议 称 为 移动 Pv6。 在 这 个 协议 的 
支持 下 ， 当 移动 节点 连接 到 一 个 新 的 链 路 时 ， 仍 然 可 以 与 其 他 静止 的 或 移动 的 节点 进行 通信 。 
移动 节点 离开 其 家 乡 链 路 对 传输 层 和 应 用 层 协议 、 对 应 用 程序 都 是 透明 的 。 

移动 IPv6 协议 适合 于 同 构 型 介质 ， 也 适合 于 异 构 型 介质 。 例 如 ， 可 以 从 一 个 以 太 网 段 移 
动 到 另 一 个 以 太 网 段 ， 也 可 以 从 一 个 以 太 网 段 移动 到 一 个 无 线 局 域 网 小 区 ， 移 动 节点 的 家 乡 地 
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址 都 无 须 改变 。 
1. 移动 IPv6 的 工作 机 制 


在 移动 IPv6 中 ， 家 乡 地 址 是 带 有 移动 节点 家 乡 子 网 前 级 的 下 地 址 。 当 移动 节点 连接 在 家 
乡 网 络 中 时 ， 发 送 给 家 乡 地 址 的 分 组 通过 常规 的 路 由 机 制 可 以 到 达 移 动 节点 。 当 移动 节点 连接 
到 外 地 链 路 时 ， 可 以 通过 一 个 或 多 个 转交 地 址 对 其 寻 址 。 转 交 地 址 是 具有 外 地 链 路 子 网 前 级 的 
也 地 址 。 移 动 节点 可 以 通过 常规 的 IPv6 机 制 获取 转交 地 址 ， 例 如 10.1.2 小 节 提 到 的 无 状态 或 
全 状态 自动 配置 过 程 。 只 要 移动 节点 停留 在 外 部 某 个 位 置 ， 发 送 给 转交 地 址 的 分 组 都 可 以 被 路 
由 到 移动 节点 。 当 移动 节点 处 于 漫游 状态 时 ， 它 可 能 从 几 个 转交 地 址 接收 分 组 ， 只 要 它 还 能 与 
以 前 的 链 路 保持 连接 。 

移动 节点 的 家 乡 地 址 与 转交 地 址 之 间 的 关联 称 为 绑 定 〈binding)。 当 移动 节点 离开 家 乡 网 
络 时 ， 要 在 家 乡 链 路 上 的 路 由 器 中 注册 一 个 主 转交 地 址 (primary care-of address)， 并 请 求 该 路 
由 器 担任 它 的 家 乡 代理 。 注 册 过 程 要 求 移动 节点 向 家 乡 代理 发 送 一 个 绑 定 更 新 (Binding Update) 
报 文 ， 家 乡 代理 以 绑 定 应 答 (Binding Acknowledgement) 报 文 响应 。 

与 移动 节点 通信 的 节点 称 为 对 端 节点 (correspondent node)。 移 动 节点 通过 “对 端 注册 ” 
过 程 向 对 端 节点 提供 它 当前 的 位 置 ， 并 且 授权 对 端 节点 把 自己 的 家 乡 地 址 与 当前 的 转交 地 址 进 
行 绑 定 。 

移动 节点 与 对 端 节点 之 间 的 通信 有 两 种 方式 。 第 一 种 方式 是 双向 隧道 〈Bidirectional 
Tunneling)， 在 这 种 情况 下 不 需要 移动 IPv6 的 支持 ， 即 使 移动 节点 没有 在 对 端 节点 上 注册 它 当 
前 的 绑 定 也 可 以 进行 通信 。 与 移动 IPv4 一 样 , 对 端 节点 发 出 的 分 组 首先 被 路 由 到 移动 节点 的 家 
乡 代理 , 然后 通过 隧道 被 转发 到 转交 地 址 。 移动 节点 发 出 的 分 组 首先 通过 隧道 发 送 给 家 乡 代理 ， 
然后 按照 正常 的 路 由 过 程 转发 到 对 端 节点 。 在 这 种 模式 下 ， 家 乡 代理 可 以 利用 “邻居 发 现 ” 功 
能 截取 任何 目标 地 址 为 移动 节点 家 乡 地 址 的 IPv6 分 组 , 并 通过 隧道 把 截取 到 的 分 组 传送 到 移动 
节点 的 主 转交 地 址 。 

第 二 种 方式 是 路 由 优化 〈route optimization)， 要 求 移动 节点 把 它 当 前 的 绑 定 信息 注册 到 对 
端 节点 上 ， 对 端 节点 发 出 的 分 组 就 可 以 直接 路 由 到 移动 节点 的 转交 地 址 。 当 对 端 节点 发 送 一 个 
JIPv6 分 组 时 ， 首 先 要 检查 它 缓冲 的 有 关 目 标 地 址 的 绑 定 项 ， 如 果 发 现 该 目标 地 址 已 经 绑 定 了 一 
个 转交 地 址 ， 则 对 端 节点 就 可 以 使 用 一 种 新 的 2 型 路 由 头 〈 见 下 面 的 解释 )， 以 便 把 分 组 路 由 
到 移动 节点 的 转交 地 址 。 指 向 移动 节点 转交 地 址 的 路 由 分 组 选择 最 短 的 路 径 到 达 目 标 ， 这 种 通 
信 方 式 缓和 了 移动 节点 家 乡 代理 和 家 乡 链 路 上 的 通信 拥塞 ， 而 且 家 乡 代理 或 网 络 通路 上 的 任何 
失效 所 产生 的 影响 都 被 减 至 最 小 。 

移动 IPv6 也 支持 多 个 家 乡 代 理 ， 并 有 限 地 支持 家 乡 网 络 的 重新 配置 。 在 这 种 情况 下 ， 移 
动 节点 也 许 不 知道 家 乡 代理 的 下 地址， 甚至 家 乡 子 网 前 级 改变 时 它 也 不 知道 。 有 一 种 叫 作 “家 
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乡 代理 地 址 发 现 ” 的 机 制 (ICMPv6 144，145 报 文 )， 人 允许 移动 节点 动态 地 发 现 家 乡 代理 的 人 
地 址 ， 即 使 移动 节点 离开 其 家 乡 网 络 也 可 以 工作 。 移 动 节点 也 可 以 学 习 新 的 信息 ， 通 过 “移动 
前 缀 请求” 机制 (ICMPv6 146，147 报 文 ) 来 了 解 家 乡 子 网 前 级 的 变化 情况 。 这 些 功 能 都 需要 
ICMPv6 的 支持 。 
移动 IPv6 的 实现 对 IPv6 的 通信 节点 和 路 由 器 提出 了 以 下 特殊 要 求 。 
。 ”对 通信 节点 的 要 求 : 每 个 IPv6 节点 都 可 能 成 为 某 个 移动 主机 的 对 端 节点 ， 所 以 每 个 
JPv6 节点 都 必须 能 够 处 理 包含 在 IPv6 数据 包 中 的 “家 乡 地 址 ”选项 。 每 个 IPv6 节点 
应 能 处 理 接收 到 的 “ 绑 定 更 新 ”选项 ， 并 能 返回 “ 绑 定 应 答 ” 选 项 。 每 个 IPv6 节点 应 
进行 绑 定 管理 。 
。 ”对 路 由 器 的 要 求 : IPv6 路 由 器 应 该 支持 相 邻 节点 的 搜索 功能 ， 支 持 ICMPv6 路 由 器 发 
现 机 制 。 每 个 IPv6 路 由 器 都 应 该 能 够 以 更 快 的 速率 发 送 “ 路 由 器 广播 ” 消息。 在 移动 
主机 的 家 乡 链 路 上 至 少 应 该 有 一 个 路 由 器 作为 它 的 家 乡 代理 。 


2. 路 由 扩展 头 
图 7-3 中 的 路 由 选择 扩展 头 称 为 0 型 路 由 头 , 用 于 一 般 的 松散 源 路 由 。 为 了 支持 移动 IPv6， 


RFC 3775 中 又 定义 了 一 种 新 的 2 型 路 由 头 ， 如 图 7-11 所 示 ， 其 中 提供 的 路 由 地 址 只 有 一 
个 一 一 移动 节点 的 家 乡 地 址 。 


图 7-11 2 型 路 由 扩展 头 


当 一 个 2 型 路 由 分 组 指向 移动 节点 时 ， 对 端 节点 应 把 IPv6 头 中 的 目标 地 址 设置 为 移动 节 
点 的 转交 地 址 ， 路 由 头 用 来 承载 移动 节点 的 家 乡 地 址 。 分 组 到 达 转 交 地 址 后 ， 移 动 节点 要 在 路 
由 头 中 检查 自己 的 家 乡 地 址 ， 排 除 转发 来 的 错误 分 组 。 类 似 地 ， 移 动 节点 发 送 给 对 端 节点 的 分 
组 中 的 源 地 址 也 是 它 当前 的 转交 地 址 ， 并 在 2 型 路 由 头 中 说 明 自己 的 家 乡 地 址 。 采 用 这 种 路 由 
头 ， 把 家 乡 地 址 加 入 到 路 由 头 中 ， 使 得 转交 地 址 对 网 络 层 之 上 成 为 透明 的 。 


3， 移动 扩 展 头 


移动 头 是 一 种 新 的 、 支 持 移动 IPv6 的 扩展 头 ， 移 动 节点 、 对 端 节点 和 家 乡 代理 在 生成 和 
E 绑 定 的 过 程 中 都 要 使 用 移动 头 来 传输 信息 。 图 7-12 画 出 了 移动 头 的 格式 。 


叫 
es] 
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负载 的 协议 | 。 头 长 度 MH 类 型 “| 保留 
校 验 和 


报 文 数据 


图 7-12 IPv6 的 目标 选项 头 


由 于 为 移动 头 指 定 的 代码 是 135， 所 以 在 前 面 的 扩展 头 中 要 用 135 来 指向 移动 头 ， 其 中 的 
字段 解释 如 下 。 
。 负载 的 协议 (Payload Protocol): 8 比特 的 选择 符 ， 用 于 标识 紧 跟 着 的 扩展 头 。 
。 ” 头 长 度 (Header Len): 8 字 节 的 倍数 ， 除 了 前 8 个 字 节 。 
。 ”MH 类 型 : 8 比特 的 选择 符 ， 说 明 移动 报 文 的 类 型 。 
> _MH=0: 绑 定 刷新 请 求 报 文 (Binding Refresh Request Message，BRR)， 由 对 端 节 
点 发 送 给 移动 节点 ， 请 求 更 新 它 的 移动 绑 定 。 
> MH=1: 家 乡 测试 初始 化 报 文 (Home Test Init Message，HoTI)， 由 移动 节点 发 送 
给 对 端 节点 ， 用 于 测试 可 达 性 ， 并 对 家 乡 地 址 进行 验证 。 
> MH==2: 转交 测试 初始 化 报 文 (Care-of Test Init Message，CoTI)， 由 移动 节点 发 
送 给 对 端 节点 ， 用 于 测试 可 达 性 ， 并 对 转交 地 址 进行 验证 。 
> MH=3: 家 乡 测试 报 文 (Home Test Message，HoT)， 由 对 端 节点 发 送 给 移动 节点 
的 报 文 ， 是 对 HoTI 的 响应 。 
> MH=4: 转交 测试 报 文 (Care-of Test Message，CoT)， 由 对 端 节点 发 送 给 移动 节 
点 的 报 文 ， 是 对 CoTI 的 响应 。 
> MH 二 5: 绑 定 更 新 报 文 (Binding Update Message，BU)， 由 移动 节点 发 出 ， 通 知 
其 他 节点 绑 定 一 个 新 的 转交 地 址 。 
> MH 二 6: 绑 定 应 答 报 文 (Binding Acknowledgement Message，BA)， 对 绑 定 更 新 报 
文 的 应 答 。 
> MH=7: 绑 定 出 错 报 文 (Binding Error Message，BE)， 由 对 端 节点 发 出 的 移动 性 
出 错 报 文 ， 例 如 失去 绑 定 信息 等 。 
。 报 文 数据 : 指 以 上 8 种 类 型 的 报 文 数据 。 


4. 移动 IPv6 和 移动 IPv4 的 比较 


移动 IPv6 的 设计 吸取 了 移动 IPv4 开发 过 程 中 积累 的 经 验 , 同时 也 得 益 于 IPv6 网 络 提供 的 
许多 新 功能 ， 下 面 对 移 动 IPv6 与 移动 Pv4 做 一 比较 (参见 表 7-5)。 
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表 7-5 移动 IPv4 和 IPv6 的 比较 


移动 IPv4 的 概念 移动 IPv6 的 概念 
移动 节点 、 家 乡 代理 、 家 乡 链 路 、 外 地 链 路 相同 
移动 节点 的 家 乡 地 址 全 球 可 路 由 的 家 乡 地 址 或 链 路 本 地 地 址 
外 地 代理 外 地 链 路 上 的 IPv6 路 由 器 〈 不 再 有 外 地 代理 ) 


两 种 转交 地 址 〈 外 地 代理 转交 地 址 和 配置 转交 


地 址 ) 


所 有 转交 地 址 都 是 配置 转交 地 址 


通过 代理 搜索 、DHCP 或 手工 配置 得 到 转交 地 址 


通过 无 状态 自动 配置 、DHCP 或 手工 配置 得 到 转 
交 地 址 


代理 搜索 


路 由 器 搜索 


向 家 乡 代理 进行 认证 注册 
到 移动 节点 的 数据 采用 隧道 传送 
由 其 他 协议 完成 路 由 优化 


向 家 乡 代理 和 其 他 通信 伙伴 进行 认证 绑 定 
到 移动 节点 的 数据 传送 可 采用 隧道 或 路 由 优化 
集成 了 路 由 优化 


移动 节点 通过 常规 的 IPv6 地 址 分 配 机 制 (无 状态 或 全 状态 自动 配置 过 程 ) 获取 转交 地 
址 ， 与 移动 IPv4 相 比 ， 简 化 了 转交 地 址 的 分 配 过 程 。 

在 运行 移动 IPv6 的 系统 中 , 移动 节点 在 家 乡 网 络 之 外 的 任何 网 络 中 操作 都 不 需要 本 地 
路 由 器 的 支持 ， 因 而 排除 了 移动 IPv4 中 增加 的 外 地 代理 功能 。 

每 个 IPv6 主机 都 具备 对 端 节点 的 功能 。 当 与 运行 移动 IPv6 的 主机 通信 时 ， 每 个 IPv6 
主机 都 可 以 执行 路 由 优化 功能 ， 从 而 避免 了 移动 Pv4 中 的 三 角 路 由 问题 。 

移动 IPv6 定义 了 两 种 通信 模式 ， 但 是 采用 隧道 通信 的 机 会 很 少 。 事 实 上 ， 通 常 只 有 对 
端 节点 发 送 的 第 一 个 分 组 是 由 家 乡 代理 转发 的 ， 当 移动 节点 向 家 乡 代理 发 送 “ 绑 定 更 
新 ”消息 后 ， 其 他 的 后 续 分 组 都 会 通过 路 由 头 进行 传送 ， 这 样 就 大 大 减少 了 网 络 的 通 
信 开 销 。 

移动 PPv6 利用 了 IPv6 的 安全 机 制 ， 简 化 了 隧道 状态 的 管理 ， 即 使 是 利用 隧道 方式 进 
行 通信 ， 也 比 移动 IPv4 的 效率 高 。 

移动 IPv6 改进 了 IPv6 的 邻居 发 现 机 制 ， 用 来 查找 本 地 路 由 器 ， 这 样 就 避免 了 IPv4 中 
使 用 的 ARP 协议 ， 改 进 了 系统 的 健壮 性 。 


7.3 从 IPv4 向 1Pv6 的 过 渡 


一 种 新 的 协议 从 诞生 到 广泛 应 用 需要 一 个 过 程 。 在 IPv6 网 络 全 球 普遍 部 署 之 前 ， 一 些 首 


先 运行 IPV6 的 网 络 希望 能 够 与 当前 运行 IPv4 的 互联 网 进行 通信 。 为 了 这 一 目的 ，IETF 成 立 了 
专门 的 工作 组 NGTRANS 来 研究 从 IPv4 向 IPv6 过 渡 的 问题 ， 提 出 了 一 系列 的 过 渡 技术 和 互 连 


第 7 章 下 一 代 互联 网 时 285B 


方案 。 这 些 技术 各 有 特点 ， 用 于 解决 不 同 过 渡 时 期 、 不 同 网 络 环境 中 的 通信 问题 。 

在 过 渡 初 期 ， 互 联网 由 运行 Pv4 的 “海洋 ”和 运行 IPv6 的 “孤岛 ”组 成 。 随 着 时 间 的 推 
移 ， 海 洋 会 逐渐 变 小 ， 孤 岛 将 越 来 越 多 ， 最 终 IPv6 会 完全 取代 IPv4。 过 渡 初 期 要 解决 的 问题 
可 以 分 成 两 类 : 第 一 类 是 解决 IPv6 孤岛 之 间 互 相通 信 的 问题 ， 第 二 类 是 解决 IPv6 孤岛 与 IPv4 
海洋 之 间 的 通信 和 问题。 目前 提出 的 过 渡 技术 可 以 归纳 为 以 下 3 种 。 

。 ”隧道 技术 : 用 于 解决 IPv6 节点 之 间 通 过 IPv4 网 络 进行 通信 的 问题 。 

。 ” 双 协 议 栈 技术 : 使 得 IPv4 和 IPv6 可 以 共存 于 同一 设备 和 同一 网 络 中 。 

。 ”翻译 技术 : 使 得 纯 IPv6 节点 与 纯 IPv4 节点 之 间 可 以 进行 通信 。 


7.3.1 隧道 技术 


所 谓 隧道 ,就 是 把 IPv6 分 组 封装 到 IPv4 分 组 中 ,通过 IPv4 网 络 进行 转发 的 技术 。 这 种 隧 
道 就 像 一 条 虚拟 的 IPv6 链 路 一 样 ， 可 以 把 IPv6 分 组 从 IPv4 网 络 的 一 端 传送 到 另 一 端 ， 在 传送 
期 间 对 原始 Pv6 分 组 不 做 任何 改变 。 在 隧道 两 端 进行 封装 和 解 封 的 网 络 节点 可 以 是 主机 , 也 可 
以 是 路 由 器 。 根 据 隧道 端 节点 的 不 同 ， 可 以 分 为 下 面 4 种 不 同 的 隧道 ; 

。 ”主机 到 主机 的 隧道 。 

。 ”主机 到 路 由 器 的 隧道 。 

。 ”路 由 器 到 路 由 器 的 隧道 。 

。 ”路 由 器 到 主机 的 隧道 。 

建立 隧道 可 以 采用 手工 配置 的 方法 ， 也 可 以 采用 自动 配置 的 方法 。 手 工 配置 的 方法 管理 不 
方便 ， 对 大 的 网 络 更 是 如 此 ， 下 面 主要 分 析 IETF 提出 的 各 种 自动 隧道 技术 。 


1， 隧 道中 介 技 术 


图 7-13 画 出 了 IPv6 分 组 通过 IPv4 隧道 传送 的 方法 。 隧 道 端点 的 IPv4 地 址 由 隧道 封装 节 
点 中 的 配置 信息 确定 。 这 种 配置 方式 要 求 隧道 端点 必须 运行 双 协 议 栈 ， 两 个 端点 之 间 不 能 使 用 
NAT 技术 ， 因 为 Pv4 地 址 必须 是 全 局 可 路 由 的 。 


BS IPv6 my IPv6 


图 7-13 人工 配置 的 隧道 


对 于 IPv4/IPv6 双 栈 主机 ， 可 以 配置 一 条 默认 的 隧道 ， 以 便 把 不 能 连接 到 任何 IPv6 路 由 器 
的 分 组 发 送出 去 。 双 栈 边界 路 由 器 的 IPv4 地 址 必须 是 已 知 的 ， 这 是 隧道 端点 的 地 址 。 这 种 默认 
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隧道 建立 后 ， 所 有 的 IPv6 目标 地 址 都 可 以 通过 隧道 传送 。 

对 于 小 型 的 网 络 ， 人 工 配 置 隧道 是 容易 的 ， 但 是 对 于 大 型 网 络 ， 这 个 方法 就 很 困难 了 。 有 
一 种 叫 作 隧 道中 介 (Tunnel Broker) 的 技术 可 以 解决 这 个 难题 。 图 7-14 表示 通过 隧道 服务 器 配 
署 隧道 端点 的 方法 。 隧 道 服务 器 是 一 种 即 插 即 用 的 IPv6 技术 ,通过 IPv4 网 络 可 以 进行 IPv6 分 
组 的 传送 。 在 客户 机 请 求 的 前 提 下 ， 来 自 隧道 服务 器 的 配置 脚本 被 发 送 给 客户 机 ， 客 户 机 利用 
收 到 的 配置 数据 来 建立 隧道 端点 ， 从 而 建立 了 一 条 通 向 IPv6 网 络 的 连接 。 这 种 技术 要 求 客户 机 
节点 必须 被 配置 成 双 协议 栈 ， 客 户 机 的 IPv4 地 址 必须 是 全 局 地 址 ， 不 能 使 用 NAT 进行 地 址 
转换 。 


隧道 代理 


用 户 DB 


隧道 服务 器 
( 双 协 议 栈 》 
图 7-14 ”隧道 中 介 


2. 自动 隧道 


两 个 双 栈 主 机 可 以 通过 自动 隧道 在 IPv4 网 络 中 进行 通信 。 图 7-15 显示 了 自动 隧道 的 网 络 
拓扑 。 实 现 自动 隧道 的 节点 必须 采用 IPv4 兼容 的 IPv6 地 址 。 


Ss 


IPv6 主 机 双 栈 路 由 器 双 栈 主机 
A B 


7-15 ”自动 隧道 
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当 分 组 进入 双 栈 路 由 器 时 ， 如 果 目 标 地 址 是 IPv4 兼容 的 地 址 ， 分 组 就 被 重 定 向 ， 并 自动 
建立 一 条 隧道 。 如 果 目 标 地 址 是 当地 的 了 Pv6 地 址 (Native Address)， 则 不 会 建立 自动 隧道 。 被 
传送 的 分 组 决定 了 隧道 的 端点 ， 目 标 IPv4 地 址 取 自 IPv6 地 址 的 低 32 位 ， 源 地 址 是 发 送 分 组 的 
接口 的 IPv4 地 址 。 自 动 隧道 不 需要 改变 主机 配置 , 缺点 是 对 两 个 主机 不 透明 ， 因 为 目标 节点 必 
须 对 收 到 的 分 组 进行 解 封 。 

在 图 7-15 中 ， 地 址 分 配 如 下 : 


从 主机 A 到 主机 B 的 分 组 : 源 地 址 =IPv6 目标 地 址 =0::IPv4(B) 
从 路 由 器 到 主机 也 的 隧道 源 地 址 =IPv4 目标 地 址 =IPv4 
从 主机 B 到 路 由 器 的 隧道 源 地 址 =IPv4 目标 地 址 =IPv4 


从 主机 B 到 主机 A 的 分 组 : 源 地 址 =0::IPv4(B) 目标 地 址 =IPv6 

实现 自动 隧道 要 根据 不 同 的 网 络 配置 和 不 同 的 通信 环境 采用 不 同 的 具体 技术 ， 下 面 分 别 进 
行 叙 述 。 

3. 6to4 隧道 


6to4 是 一 种 支持 卫 v6 站 点 通过 IPv4 网 络 进行 通信 的 技术 ， 这 种 技术 不 需要 显 式 地 建立 隧 
道 ， 可 以 使 得 一 个 原生 的 Pv6 站 点 通过 中 继 路 由 器 连接 到 IPv6 网 络 中 。 

IANA 在 可 聚合 全 球 单 播 地 址 范围 内 指定 了 一 个 格式 前 缀 0x2002 来 表示 6to4 地 址 。 例 如 
全 局 IPv4 地 址 192.0.2.42 对 应 的 6to4 前 缀 就 是 2002:c000:022a::/48, 其 中 ,c000:022a 是 192.0.2.42 
的 十 六 进 制 表示 。 除 了 48 位 前 缀 之 外 ， 后 面 还 有 16 位 的 子 网 地 址 和 64 位 的 主机 接口 ID。 通 
常 把 带 有 16 位 前 级 “2002” 的 IPv6 地 址 称 为 6to4 地 址 ， 而 把 不 使 用 这 个 前 级 的 IPv6 地 址 称 
为 原生 地 址 (Native Address)。 

中 继 路 由 器 是 一 种 经 过 特别 配置 的 路 由 器 ， 用 于 在 原生 IPv6 地 址 与 6to4 地 址 之 间 进 行 转 
换 。6to4 技术 都 是 在 边界 路 由 器 中 实现 的 ， 不 需要 对 主机 的 路 由 配置 做 任何 改变 。 地 址 选择 方 
案 应 该 保证 在 任何 复杂 的 拓扑 中 都 能 进行 正确 的 6to4 操作 ， 这 意味 着 如 果 一 个 主机 只 有 6to4 
地 址 ， 而 另 一 个 主机 有 6to4 地 址 和 原生 IPv6 地 址 ， 则 两 个 主机 必须 用 6to4 地 址 进行 通信 。 如 
果 两 个 主机 都 有 6to4 地 址 和 原生 IPv6 地 址 ， 则 两 者 都 要 使 用 原生 IPv6 地 址 进行 通信 。 

6to4 路 由 器 应 该 配置 双 协 议 栈 ， 应 该 具有 全 局 IPv4 地 址 ， 并 能 实现 6to4 地 址 转换 。 这 种 
方法 对 IPv4 路 由 表 不 增加 任何 选项 ， 只 是 在 IPv6 路 由 表 中 引入 了 一 个 新 的 选项 。 

6to4 路 由 器 应 该 向 本 地 网 络 公告 它 的 6to4 前 级 2002:IPv4::/48， 其 中 ，IPv4 是 路 由 器 的 全 
局 IPv4 地 址 。 在 本 地 IPv6 网 络 中 的 6to4 主机 要 使 用 这 个 前 级 ， 可 以 用 作 自 动 的 地 址 赋值 ,或 
用 作 IPv6 路 由 ， 或 用 在 6over4 机 制 中 。 

用 6to4 技术 连接 的 两 个 主机 如 图 7-16 所 示 。 在 6to4 主机 A 发 出 的 分 组 经 过 各 个 网 络 到 达 
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主机 B 的 过 程 中 ， 地 址 变化 情况 如 图 7-17 所 示 ， 这 些 地 址 转换 都 是 在 6to4 路 由 器 中 自动 进 
行 的 。 


前 缀 2002:IPv4(1)::/48 前 缀 2002:IPv4(2)::/48 
6to4 


6to4 
主机 A 贞 主轴 B 


Gto4 Gto4 
路 由 器 路 由 器 


图 7-16 两 个 6to4 主机 之 间 的 通信 


Ss 
IPv4 Header 
sre: IPv40) 
dst: IPW4 
A A 
Header Header 
:IPvA(1):0: EULG4 1 IPeAI):0: EULG4 
EULG4 :EULG4 


注 : EUI-64 (Extended Unique Identifier) 是 IEEE 定义 的 64 位 标识 符 ， 前 24 位 OUI 
(Organizationally Unique Identifier) 由 机 构 向 IEEE 购买 ， 后 40 位 由 机 构 自行 分 配 


7-17 两 个 6to4 主机 通信 时 的 分 组 头 
6to4 技术 也 支持 原生 IPv6 站 点 到 6to4 站 点 的 通信 ， 如 图 7-18 所 示 ， 其 通信 过 程 如 下 : 


主机 A yy 蕊 主机 B 


TIPv40D TIPv4O) 


Gto4 Gto4 
中 继 路 由 器 1 路 由 器 2 


图 7-18 原生 IPv6 主机 到 6to4 主机 的 通信 


。 原生 IPv6 主机 A 的 地 址 为 IPv6 (A)。 
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。 6to4 中 继 路 由 器 1 向 原生 IPv6 网 络 公告 它 的 地 址 前 绥 2002::/16, 这 个 地 址 前 绥 被 保存 
在 主机 A 的 路 由 表 中 。 

。 6to4 路 由 器 2 对 6to4 网 络 公告 它 的 地 址 前 级 2002:IPv4(2):-/48， 于 是 6to4 主机 B 获得 
地 址 2002:IPv4(2)::EUI-64 (B)。 

。 ”当主 机 A 向 主机 B 发 送 分 组 时 ,6to4 中 继 路 由 器 1 对 分 组 进行 封装 , 即 源 地 址 =IPv4(1)， 
目标 地 址 =IPv4(2)。 

。 ” 当 分 组 到 达 6to4 路 由 器 2 时 分 组 被 解 封 ， 并 转发 到 主机 B。 

6to4 技术 还 可 以 支持 6to4 站 点 到 原生 IPv6 站 点 的 通信 ， 如 图 7-19 所 示 ， 通 信 过 程 如 下 : 


主机 A 区 区 主机 B 


JPv4G) 
Gto4 Gto4 
中 继 路 由 器 3 路 由 器 2 


图 7-19 6to4 主机 到 原生 IPv6 主机 的 通信 


。 主机 A 的 地 址 为 IPv6(A)。 
。 主机 B 的 地 址 为 2002:IPv4(2)::EUI-64(B)。 
。 ”6to4 路 由 器 2 有 一 条 到 达 6to4 中 继 路 由 器 3 的 默认 路 由 , 这 个 路 由 项 可 以 是 静态 配置 
的 ， 或 是 动态 获得 的 。 
。 当主 机 了 向 主机 A 发 送 分 组 时 ，6to4 路 由 器 2 对 分 组 进行 封装 ， 源 地 址 =IPv4(2)， 目 
标 地 址 =IPv4(3)。 
。 ”6to4 中 继 路 由 器 3 对 分 组 解 封 ， 并 转发 到 主机 A。 
6to4 技术 对 于 两 个 6to4 网 络 之 间 的 通信 是 很 有 效 的 ， 但 是 对 于 原生 IPv6 网 络 与 6to4 网 络 
之 间 的 通信 效率 不 高 。 由 于 不 需要 改变 主机 的 配置 ， 只 需 在 路 由 器 中 进行 很 少 的 配置 ， 所 以 这 
种 方法 的 主要 优点 是 简单 可 行 。 


4. 6over4 隧道 


1) 链 路 本 地 地 址 的 自动 生成 

RFC 2529 定义 的 6over4 是 一 种 由 IPv4 地 址 生成 Pv6 链 路 本 地 地 址 的 方法 。IPv4 主机 的 
接口 标识 符 是 在 该 接口 的 了 v4 地 址 前 面 加 32 个 “0” 形 成 的 64 位 标识 符 。IPv6 链 路 本 地 地 址 
的 格式 前 级 为 FE80::/64， 在 其 后 面 加 上 64 位 的 IPv4 接口 标识 符 就 形成 了 完整 的 IPv6 链 路 本 
地 地 址 。 例 如 对 于 主机 地 址 192.0.2.142， 对 应 的 IPv6 链 路 本 地 地 址 为 FE80::C000:028E 
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(C000028E 是 192.0.2.142 的 十 六 进 制 表示 )。 这 种 由 IPv4 地 址 生成 IPv6 地 址 的 方法 就 是 本 章 
前 面 提 到 的 无 状态 自动 配置 方式 。 

2) 组 播 地 址 映像 

一 个 孤立 在 IPv4 网 络 中 的 IPv6 主机 为 了 发 现 它 的 IPv6 邻居 〈 主 机 或 路 由 器 )， 通 常 采用 
的 方法 是 组 播 ICMPv6 邻居 邀请 (Neighbor Solicitation) 报 文 ， 并 期 望 接收 到 对 方 的 邻居 公告 
(Neighbor Advertisement) 报 文 ， 以 便 从 中 获取 邻居 的 链 路 层 地 址 。 但 是 在 IPv4 网 络 中 ， 承 载 
ICMPv6 报 文 的 IPv6 分 组 必须 封装 在 IPv4 报 文中 传送 ， 所 以 作为 基础 通信 网 络 的 IPv4 网 络 必 
须 配置 组 播 功 能 。 

RFC 2529 规定 ，IPv6 组 播 分 组 要 封装 在 目标 地 址 为 239.192.x.y 的 IPv4 分 组 中 发 送 , 其 中 
x 和 y 是 IPv6 组 播 地 址 的 最 后 两 个 字 节 。 值 得 注意 的 是 ，239.192.0.0/16 是 IPv4 机 构 本 地 范围 
(Organization-Local Scope) 内 的 组 播 地 址 块 ， 所 以 实现 6over4 主机 都 要 位 于 同一 IPv4 组 播 区 
域内 。 

3) 邻居 发 现 

IPv6 邻居 发 现 的 过 程 如 下 : 首先 是 IPv6 主机 组 播 ICMPv6 邻居 邀请 报 文 ， 然 后 是 收 到 对 
方 的 邻居 公告 报 文 ， 其 中 包含 了 64 位 的 链 路 层 地 址 。 当 链 路 层 属 于 IPv4 网 络 时 ， 邻 居 公告 报 
文 返回 的 链 路 层 地 址 形式 如 下 : 

[ 关 型 | 长度 | o |。 [wx [yy | :| 

以 上 每 个 字段 的 长 度 都 是 8 比特 ， 其 中 类 型 =1 表示 源 链 路 层 地 址 ， 类 型 =2 表示 目标 链 路 
层 地 址 , 长 度 =1( 以 8 个 字 节 为 单位 ), wx.y.z 为 IPv4 地 址 。 当 IPv6 主机 获得 了 对 方 主机 的 IPv4 
地 址 后 ， 就 可 以 用 无 状态 自动 配置 方式 构造 源 和 目标 的 链 路 本 地 地 址 ， 向 通信 对 方 发 送 IPv6 
分 组 了 。 当 然 ，IPv6 分 组 还 是 要 封装 在 Pv4 分 组 中 传送 的 。 

采用 6over4 通信 的 IPv6 主机 不 需要 采用 IPv4 兼容 的 地 址 ， 也 不 需要 手工 配置 隧道 。 按 照 
这 种 方法 传送 IPv6 分 组 , 与 底层 链 路 配置 无 关 。 如 果 了 Pv6 主机 发 现 了 同一 IPv4 子 网 内 的 了 Pv6 
路 由 器 ， 那 么 还 可 以 通过 该 路 由 器 与 其 他 IPv6 子 网 中 的 主机 进行 通信 ， 这 时 原来 孤立 的 IPv6 
主机 就 变 成 全 功能 的 IPv6 主机 了 。 

图 7-20 画 出 了 两 个 6over4 主机 进行 通信 的 情况 , 发 起 通信 的 主机 A 利用 IPv6 的 邻居 发 现 
机 制 来 获取 另外 一 个 主机 B 的 链 路 层 地 址 ， 然 后 主机 B 发 出 的 公告 报 文 返回 了 自己 的 了 Pv4 地 
址 。 通 过 无 状态 自动 配置 过 程 ， 主 机 A 和 主机 B 就 建立 了 一 条 虚拟 的 IPv6 连接 ， 就 可 以 进行 
IPv6 通信 了 。 

6over4 依赖 于 IPv4 组 播 功 能 ， 但 是 在 很 多 IPv4 网 络 环境 中 并 不 支持 组 播 ， 所 以 6over4 技 
术 在 实践 中 受到 一 定 的 限制 ， 在 有 些 操作 系统 中 无 法 实现 。 另 外 一 个 限制 条 件 是 ，IPv6 主机 连 
接 路 由 器 的 链 路 应 该 处 于 IPv4 组 播 路 由 范围 之 内 。 
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籽 一 过 圭一 :一世 


6over4 r4 


IPv6 
主机 A 主机 B 


图 7-20 两 个 IPv6 主机 之 间 的 6over4 通信 


$5. ISATAP 


RFC 4214 定义 了 一 种 自动 隧道 技术 一 一 ISATAP (Intra-Site Automatic Tunneling Addressing 
Protocol)， 这 种 隧道 可 以 穿 透 NAT 设备 ， 与 私 网 之 外 的 主机 建立 IPv6 连接 。 

正如 该 协议 的 名 字 所 暗示 的 那样 ，ISATAP 意味 着 通过 IPv4 地 址 自动 生成 Pv6 站 点 本 地 
地 址 或 链 路 本 地 地 址 ，IPv4 地 址 作为 隧道 的 端点 地 址 ， 把 IPv6 分 组 被 封装 在 IPv4 分 组 中 进行 
传送 。 

图 7-21 表示 两 个 ISATAP 主机 通过 本 地 网 络 进行 通信 的 例子 。 假 定 主机 A 的 格式 前 级 为 
FE80::/48〔 链 路 本 地 地 址 )， 加 上 64 位 的 接口 标识 符 ::0:SEFE:wx.yz (wx.y.z 是 主机 A 的 IPv4 
单 播 地 址 )， 这 样 就 构成 了 IPv6 链 路 本 地 地 址 ， 就 可 以 与 同一 子 网 内 的 其 他 ISATAP 主机 进行 
JIPv6 通信 了 。 具 体 地 说 ， 主 机 A 向 主机 B 发 送 分 组 时 采用 的 地 址 如 下 。 


ISATAP ISATAP 
主机 A 主机 B 
一 一 号 
( 
< a < 
10.40.1.29 
192.168.41.30 


FE80::5EFE:10.40.1.29 
FE80::5EFE:192.168.41.30 


图 7-21 在 IPv4 网 络 中 ISATAP 主机 之 间 的 通信 


。 目标 IPv4 地 址 : 192.168.41.30 

。 源 IPv4 地址 : 10.40.1.29 

。 目标 耻 v6 地 址 : FE80::SEFE:192.168.41.30 
。 源 IPv6 地 址 : FE80::5EFE:10.40.1.29 


国 29 项 。 网 络 工程 所 教程 (第 5 版 ) 


图 7-22 表示 两 个 ISATAP 主机 通过 Internet 进行 通信 的 例子 。 在 这 种 情况 下 , ISATAP 路 由 
器 要 公告 自己 的 地 址 前 级 ， 以 便 与 其 连接 的 ISATAP 主机 可 以 自动 配置 自己 的 站 点 本 地 地 址 。 
站 点 本 地 地 址 的 格式 前 级 为 FEC0::/48， 加 上 64 位 的 接口 标识 符 ::0:SEFE:wx.yz， 就 构成 了 了 
机 A 的 站 点 本 地 地 址 。 


出 


ISATAP ISATAP 


ISATAP 
路 由 器 A 路 由 器 B 


19440129 15745331 
FECO-1111:0:5EFE:194.40.129 FECO-1111:0:5EFE:157.45331 


图 7-22 ISATAP 主机 通过 Internet 通信 


一 般 来 说 ，ISATAP 地 址 有 64 位 的 格式 前 级 ，FEC0::/64 表示 站 点 本 地 地 址 ，FE80::/64 表 
示 链 路 本 地 地 址 。 在 格式 前 级 之 后 要 加 上 修改 的 EUI-64 地 址 (Modified EUI-64 addresses)， 其 
形式 如 下 : 

24 位 的 IANA OUI 十 40 位 的 扩展 标识 符 

如 果 40 位 扩展 标识 符 的 前 16 位 是 0xFFFE， 则 后 面 是 24 位 的 制造 商标 识 符 ， 如 图 7-23 
所 示 。 

i | 
000000ug00000000 01011110 |11111111 11111110|xxxxxxxx XxxxxxxxXXXNXAXXX 


图 7-23 40 位 扩展 标识 符 (1) 
如 果 40 位 扩展 标识 符 的 前 8 位 是 0xFE， 则 后 面 是 32 位 的 IPv4 地 址 ， 如 图 7-24 所 示 。 


4 人 Em 2 位 
ea 


图 7-24 40 位 扩展 标识 符 (2) 


OUI 表示 机 构 唯 一 标识 符 (Organizationally Unique Identifier) ，IANA 分 配 的 OUI 为 
00-00-5E, 如 图 7-24 所 示 , 其 中 的 位 表示 universallocal, u=1 表示 全 球 唯一 的 IPv4 地 址 , u=0 
表示 本 地 的 人 Pv4 地 址 ，g 位 是 individual/group 位 ，g=1 表示 单 播 地 址 ，g=0 表示 组 播 地 址 。 


7.3.2 ”协议 翻译 技术 
协议 翻译 技术 用 于 纯 IPv6 主机 与 纯 Pv4 主机 之 间 的 通信 ， 已 经 提出 的 翻译 方法 有 下 面 几 种 。 
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。 SIIT: 无 状态 的 IP/ICMP 翻译 (Stateless IP/ICMP Translation ) 。 

。 NALPT: 网 络 地 址 翻译 -协议 翻译 (Network Address Translator-Protocol Translator )。 

。 ”SOCKS64: 基于 SOCKS 的 IPv6/IPv4 机 制 (SOCKS-based IPv6/ITPv4 Gateway Mechanism ) 。 
。 TRT: IPv6 到 IPv4 的 传输 中 继 翻 译 器 (IPv6-to-IPv4 Transport Relay Translator ) 。 

这 里 只 介绍 前 两 种 方法 。 


1. SOT 


首先 介绍 两 种 特殊 的 IPv6 地 址 。 

(1) IPv4 映射 地 址 (IPv4-mapped): 一 种 内 柑 IPv4 地 址 的 IPv6 地 址 ， 可 表示 为 
0:0:0:0:0:FFFF:w.x.y.z 或 :FFFF:w.x.y.z 的 形式 ， 其 中 wx.y.z 是 IPv4 地 址 。 这 种 地 址 用 于 仅 支持 
IPv4 的 主机 。 

(2) IPv4 翻译 地 址 (IPv4-translated ): 一 种 内 肉 IPv4 地 址 的 IPv6 地 址 ， 可 表示 为 
0:0:0:0:FFFF:0:w.x.y.z 或 ::FFFF:0:w.x.y.z 的 形式 ， 其 中 wx.y.z 是 IPv4 地 址 。 这 种 地 址 可 用 于 支 
持 IPv6 的 主机 。 

RFC 2765 定义 的 SIT 类 似 于 IPv4 中 的 NAT-PT 技术 , 但 它 并 不 是 对 IPv6 主机 动态 地 分 配 
IPv4 地 址 。SIT 转换 器 规范 描述 了 从 IPv6 到 IPv4 的 协议 转换 机 制 , 包括 人 P 头 的 翻译 方法 以 及 
ICMP 报 文 的 翻译 方法 等 。 当 IPv6 主机 发 出 的 分 组 到 达 SIIT 转换 器 时 ，IPv6 分 组 头 被 翻译 为 
IPv4 分 组 头 ， 分 组 的 源 地 址 采用 IPv4 翻译 地 址 ， 目 标 地 址 采用 IPv4 映射 地 址 ， 然 后 这 个 分 组 
就 可 以 在 IPv4 网 络 中 传送 了 。 

图 7-25 表示 一 个 了 Pv6 主机 与 IPv4 主机 进行 SIIT 通信 的 例子 ， 图 中 的 SIIT 转换 器 负责 提 
供 临时 的 IPv4 地 址 ， 以 便 IPv6 主机 构建 自己 的 了 Pv4 翻译 地 址 〈 源 地 址 )， 通 信 对 方 的 目标 地 
址 则 要 使 用 IPv4 映射 地 址 ，SIIT 转换 器 看 到 这 种 类 型 的 分 组 则 要 进行 分 组 头 的 翻译 。 


图 7-25 单个 纯 IPv6 主机 通过 SIIT 进行 通信 


图 7-26 表示 双 栈 网 络 中 的 纯 人 P 主机 和 通过 SIIT 与 IPv4 主机 进行 通信 的 例子 。 双 栈 网 络 
中 既 包 含 IPv6 主机 ， 也 包含 IPv4 主机 。 在 这 种 情况 下 ，SIIT 转换 器 可 能 收 到 纯 IPv6 主机 发 出 
的 分 组 ， 也 可 能 收 到 纯 IPv4 主机 发 出 的 分 组 ，SIT 转换 器 要 适应 两 种 主机 的 需要 ， 要 保证 所 
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有 进出 双 栈 网 络 的 分 组 都 是 可 路 由 的 。 
< SS 
el 双 协 议 栈 网 络 a IPv4 网 络 en 
=IPv4translted 地 直 |  ____-_-_-_-_- i 源 地 址 -IPv4 地 址 
目标 地 址 =IPv4-mapped 地 址 目标 地 址 =IPv4 地 址 


图 7-26 双 栈 网 络 通过 SIIT 进行 通信 


RFC 2765 没有 说 明 IPv6 节点 如 何 获得 临时 的 IPv4 地 址 ， 也 没有 说 明 获 得 的 IPv4 地 址 怎 
样 注册 到 DNS 服务 器 中 。 也 许可 以 对 DHCP 协议 进行 少许 扩展 ， 用 于 提供 短期 租赁 的 临时 地 
址 。SIT 转换 器 只 是 尽 可 能 地 对 人 头 进行 翻译 ， 并 不 是 对 IPv6 头 与 IPv4 中 的 每 一 项 都 能 一 一 
对 应 地 进行 翻译 。 因 为 两 种 协议 在 有 些 方 面 差别 很 大 ， 例 如 IPv4 头 中 的 任 选项 部 分 ，IPv6 的 
路 由 头 、 逐 跳 扩 展 头 和 目标 选项 头 都 无 法 准确 地 与 另 一 个 协议 中 的 有 关机 制 进行 对 应 的 翻译 ， 
可 能 要 采用 其 他 技术 来 解决 这 些 问 题 ， 很 难 用 同一 模型 来 提供 统一 的 解决 方案 。 事 实 上 ，SIIT 
与 下 面 将 要 讲 到 的 NATPT 技术 结合 使 用 才能 提供 一 种 实用 的 解决 方案 。 


2. NAT-PT 


NAT-PT(Network Address Translator-Protocol Translator) 是 RFC 2766 定义 的 协议 翻译 方法 ， 
用 于 纯 IPv6 主 机 与 纯 IPv4 主机 之 间 的 通信 。 实 现 NATPT 技 术 必须 指定 一 个 服务 器 作为 NATPT 
网 关 ， 并 且 要 准备 一 个 IPv4 地 址 块 作为 地 址 翻译 之 用 ， 要 为 每 个 站 点 至 少 预 留 一 个 IPv4 地 址 。 

与 SIIT 不 同 ，RFC 2766 定义 的 是 有 状态 的 翻译 技术 ， 即 要 记录 和 保持 会 话 状态 ， 按 照会 
话 状 态 参 数 对 分 组 进行 翻译 ， 包 括 对 下 地 址 及 其 相关 的 字段 〈 例 如 卫 、TCP、UDP、ICMP 头 
校 验 和 等 ) 进行 翻译 。 

NAT-PT 操作 有 3 个 变种 : 基本 NAT-PT、NAPT-PT 和 双向 NAT-PT。 基 本 NAT-PT 是 单 向 
的 ， 这 意味 着 只 允许 IPv6 主机 访问 IPv4 主机 ， 如 图 7-27 所 示 。 假 设 各 个 主机 使 用 的 了 P 地 址 
如 下 : 

主机 A 的 IPv6 地 址 : FEDC:BA98::7654:3210 
E 机 B 的 IPv6 地 址 : FEDC:BA98::7654:3211 
E 机 C 的 IPv4 地 址 : 132.146.243.30 
如 果 主 机 A 要 与 主机 C 通信 ， 则 主机 A 生成 一 个 分 组 ， 源 地 址 = FEDC:BA98::7654:3210， 
目标 地 址 = 格式 前 绥 ::132.146.243.30， 这 个 地 址 是 NAT-PT 网 关 根 据 主 机 C 的 地 址 生成 的 IPv6 
地 址 。NAT-PT 网 关 对 这 个 分 组 采用 与 SIT 同样 的 方法 进行 PP 分 组 头 的 翻译 。 

如 果 发 出 的 分 组 不 是 发 起 会 话 的 分 组 ， 则 NAT-PT 网 关 应 该 已 经 存储 了 有 关 会 话 的 状态 信 
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息 ， 包 括 指定 的 IPv4 地 址 以 及 其 他 有 关 的 翻译 参数 。 如 果 这 些 状 态 不 存在 ， 则 分 组 被 丢弃 。 


NAT-PT 网 关 
IPv4 地 址 池 


图 7-27 基本 NAT-PT 


如 果 IPv6 主机 发 出 的 是 一 个 会 话 发 起 分 组 ， 则 NAT-PT 就 从 地 址 池 中 为 其 分 配 一 个 IPv4 
地 址 ， 并 把 分 组 翻译 为 IPv4 分 组 。 在 会 话 持续 期 间 ， 翻 译 参 数 被 NAT-PT 网 关 缓 存 起 来 ， 并 维 
持 IPv6 到 IPv4 的 映射 。 

NAT-PT 网 关 还 要 对 返回 的 分 组 进行 识别 , 要 判断 是 否 属于 同一 会 话 。NAT-PT 网 关 使 用 状 
态 信 息 来 翻译 分 组 ， 产 生 的 返回 分 组 源 地 址 = 格式 前 级 ::132.146.243.30， 目 标 地 址 = 
FEDC:BA98::7654:3210， 这 个 分 组 可 以 在 IPv6 子 网 中 进行 路 由 。 

第 2 个 变种 是 NAPTPT， 其 中 的 NAPT 表示 网 络 地 址 -端口 翻译 ， 仍 然 是 单 向 通信 ， 但 是 
扩展 到 了 TCP/UDP 端口 的 翻译 ， 也 包括 ICMP 询问 标识 符 的 翻译 。 这 种 技术 可 以 实现 ITPv6 主 
机 的 传输 标识 符 到 指定 IPv4 地 址 传输 标识 符 的 多 路 复 用 ， 即 让 一 组 IPv6 主机 共享 同一 IPv4 
地 址 。 

第 3 个 变种 是 双向 NAT-PT， 这 意味 着 双向 通信 ， 无 论 是 IPv6 主机 还 是 IPv4 主机 ， 都 可 
以 向 对 方 发 起 会 话 。 当 主机 C 要 发 起 对 主机 A 的 会 话 时 ， 因 为 它 不 能 直接 使 用 目标 了 Pv6 地 址 ， 
这 时 要 借助 于 DNS-ALG (Application Level Gateway) 来 获取 主机 A 的 IPv4 地 址 。 假 设 主机 A 
的 域名 为 www.A.com， 则 主机 C 首先 向 IPv4 网 络 中 的 DNS 服务 器 发 出 请 求 ， 要 求 对 域名 
www.A.com 进 行 解析 。 当 请 求 到 达 NAT-PT 网 关 后 ， 网 关 将 该 请 求 转发 给 IPv6 网 络 中 的 DNS 
服务 器 ， 这 个 过 程 包括 了 对 报 文 地 址 类 型 的 转换 。IPv6 中 的 DNS 服务 器 回应 NAT-PT 网 关 ， 
说 明 该 域名 对 应 的 IPv6 地 址 为 FEDC:BA98::7654:3210。 网 关 收 到 这 个 响应 后 在 IPv4 地 址 池 中 
选择 一 个 地 址 (例如 130.117.222.3) 来 替换 FEDC:BA98::7654:3210, 并 将 该 地 址 与 www.A.com 
的 对 应 关系 告诉 主机 C。 于 是 ， 主 机 C 知道 了 www.A.com 对 应 的 IPv4 地 址 ， 就 可 以 向 主机 A 
发 送 分 组 了 。 

协议 翻译 技术 适用 于 IPv6 孤岛 与 Pv4 海洋 之 间 的 通信 ， 这 种 技术 要 求 一 次 会 话 中 的 双向 
数据 包 都 在 同一 个 路 由 器 上 完成 转换 ， 所 以 它 只 能 适用 于 同一 路 由 器 连接 的 网 络 。 这 种 技术 的 
优点 是 不 需要 进行 Pv4 和 了 Pv6 终端 的 升级 改造 ， 只 要 求 在 IPv4 和 IPv6 之 间 的 网 络 转换 设备 
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上 启用 NAT-PT 功能 就 可 以 了 。 但 是 在 实现 这 种 技术 时 ， 一 些 协议 字段 在 转换 时 仍 不 能 完全 保 
持原 有 的 含义 ， 并 且 缺 乏 端 到 端的 安全 性 。 


7.3.3 ” 双 协 议 栈 技术 


双 栈 技术 适用 于 同时 实现 了 了 Pv6 和 IPv4 两 个 协议 栈 的 主机 之 间 进 行 通 信 。 在 这 种 情况 下 ， 
当主 机 发 起 通信 时 ，DNS 服务 器 将 同时 提供 IPv6 和 IPv4 两 种 地 址 ， 主 机 将 根据 具体 情况 使 用 
适当 的 协议 来 建立 通信 。 在 服务 器 一 边 要 同时 监听 IPv4 和 IPv6 两 种 端口 。 这 种 技术 要 求 每 个 
主机 要 有 一 个 IPv4 地 址 ，IPv4 主机 使 用 了 Pv6 应 用 不 存在 任何 问题 。 

双 栈 主机 有 下 面 两 种 方法 : 

。 ”RFC 2767(2000) 定 义 的 BIS (Bump-In-the-Stack) 

。 ”RFC 3338(2002) 定 义 的 BIA (Bump-In-the-API) 


1. BIS 


在 IPv4 向 IPv6 过 渡 的 初始 阶段 ， 网 络 中 只 有 很 少 的 IPv6 应 用 。BIS 是 应 用 于 了 人 P 安全 域 
内 的 一 种 机 制 ， 适 用 于 在 开始 过 渡 阶 段 利用 现 有 的 IPv4 应 用 进行 IPv6 通信 。 

这 种 技术 是 在 主机 的 TCP/IPv4 模块 与 网 卡 驱动 模块 之 间 插 入 一 些 模块 来 实现 IPv4 与 IPv6 
分 组 之 间 的 转换 ， 使 得 主机 成 为 一 个 协议 转换 器 。 从 外 界 看 来 ， 这 样 的 主机 就 像 是 同时 实现 了 
IPv6 和 IPv4 两 个 协议 栈 的 主机 一 样 ， 既 可 以 与 其 他 的 IPv4 主机 通信 ,也 可 以 与 其 他 的 IPv6 主 
机 通信 ， 但 这 些 通信 都 是 基于 现 有 的 IPv4 应 用 进行 的 。 

BIS 用 3 个 模块 来 代替 IPv6 应 用 ， 这 些 模块 是 转换 器 、 扩 展 名 解析 器 和 地 址 映射 器 ， 如 图 
7-28 所 示 。 对 3 个 模块 的 作用 介绍 如 下 : 


1Pv4 应 用 


TCP/IPv4 协议 栈 


转换 器 


扩展 名 解析 器 | | 地 址 映射 器 


IPv6 


网 卡 驱动 模块 


网 卡 


图 7-28 ” 双 协 议 栈 主机 的 结构 
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转换 器 的 作用 是 在 IPv4 地 址 与 IPv6 地 址 之 间 进 行 转换 ， 转 换 的 机 制 与 SIIT 定义 的 一 样 。 
当 从 IPv4 应 用 接收 到 一 个 耻 v4 分 组 时 ， 转 换 器 把 IPv4 头 转换 为 IPv6 头 ， 然 后 对 IPv6 分 组 进 
行 分 段 〈 因 为 IPv6 头 比 IPv4 头 长 20 个 字 节 )， 并 发 送 到 IPv6 网 络 中 去 。 当 接收 到 一 个 PPv6 
分 组 时 ， 转 换 器 进行 相反 的 转换 ， 但 是 不 需要 对 生成 的 IPv4 分 组 进行 分 段 。 

扩展 名 解析 器 对 IPv4 应 用 发 出 的 请 求 返回 一 个 “适当 的 ”答案 。 应 用 通常 向 名 字 服 务 器 
发 送 请 求 , 要 求解 析 目 标 主机 名 的 A 记录 。 扩 展 名 解析 器 根据 这 个 请 求生 成 另外 一 个 查询 请 求 ， 
发 往 名 字 服 务 器 ， 要 求解 析 主 机 名 的 A 记录 和 AAAA 记录 。 如 果 A 记录 被 解析 ， 它 向 应 用 返 
回 A 记录 ， 这 时 不 需要 进行 地 址 转换 。 如 果 只 有 AAAA 记录 被 解析 ， 则 它 向 地 址 映射 器 发 出 
请 求 ， 要 求 为 Pv6 地 址 指定 一 个 对 应 的 IPv4 地 址 ， 然 后 对 指定 的 IPv4 地 址 生成 一 个 A 记录 ， 
并 将 其 返回 给 应 用 。 

地 址 映射 器 维护 一 个 Pv4 地 址 池 , 同时 维护 一 个 由 卫 v4 地 址 与 了 Pv6 地 址 对 组 成 的 表 。 当 
解析 器 或 转换 器 要 求 为 一 个 Pv6 地 址 指定 一 个 了 Pv4 地 址 时 , 它 从 地 址 池 中 选择 一 个 IPv4 地 址 ， 
并 动态 地 注册 一 个 新 的 表 项 。 当 出 现下 面 两 种 情况 时 会 启动 注册 过 程 : 

(1) 解析 器 只 得 到 目标 主机 名 的 AAAA 记录 ， 并 且 表 中 不 存在 IPv6 地 址 的 映射 表 项 。 

(2) 转换 器 接收 到 IPv6 分 组 ， 并 且 表 中 不 存在 IPv6 地 址 的 映射 表 项 。 

在 映射 表 初 始 化 时 ， 地 址 映射 器 注册 它 自 己 的 一 对 IPv4 地 址 与 IPv6 地 址 。 


2. BIA 


BIA 是 在 IPv4 Socket 应 用 与 Pv6 Socket 应 用 之 间 进 行 翻译 的 技术 。BIA 要 求 在 Socket 应 
用 模块 与 TCP/IP 模块 之 间 插 入 API 转换 器 ,这样 建 立 的 双 栈 主机 不 需要 在 卫 头 之 间 进 行 翻译 ， 
使 得 转换 过 程 得 到 简化 。 

当 双 栈 主机 中 的 IPv4 应 用 要 与 另外 一 个 IPv6 主机 进行 通信 时 ，API 转换 器 检测 到 IPv4 应 
用 中 的 Socket API 功能 ， 于 是 就 启动 IPv6 Socket API 功能 与 目标 IPv6 主机 进行 通信 。 相 反 的 
通信 过 程 是 类 似 的 。 为 了 支持 IPv4 应 用 与 目标 IPv6 主机 进行 通信 ，API 转换 器 中 的 名 字 解 析 
器 将 从 缓存 中 选择 一 个 IPv4 地 址 并 赋予 目标 IPv6 主机 。 图 7-29 表示 安装 BIA 的 双 栈 主机 的 体 
系 结构 。 

在 图 7-29 中 的 API 转换 器 由 3 个 模块 组 成 。 功 能 映射 器 的 作用 是 在 IPv4 Socket API 功能 
与 IPv6 Socket API 功能 之 间 进 行 转换 。 当 检测 到 来 自 了 Pv4 应 用 的 IPv6 Socket API 功能 时 ， 它 
就 解释 这 个 功能 调用 ， 启 动 新 的 IPv6 Socket API 功能 ， 并 以 此 来 与 目标 IPv6 主机 进行 通信 。 
当 从 IJPv6 主机 接收 的 数据 中 检测 到 IPv6 Socket API 功能 时 做 相反 的 解释 和 转换 。 

名 字 解 析 器 的 作用 是 在 收 到 IPv4 应 用 请 求 时 给 出 适当 的 响应 。 当 IPv4 应 用 试图 通过 解析 
器 来 进行 名 字 解 析 时 ，BIA 就 截取 这 个 功能 调用 ,转向 调用 卫 v6 的 等 价 功能 ， 以 便 解 析 目 标 主 
机 的 A 记录 或 AAAA 记录 。 
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[en | 


[sentet arr (IPv4, IPv6) | 


API 转 换 器 


TCP/UDP (IPv4) | TCP/UDP (IPv6) 


图 7-29 BIA 双 协 议 栈 主机 的 体系 结构 


地 址 映射 器 与 BIS 中 的 地 址 映射 器 相同 。 
7.4 下 一 代 互 联网 的 发 展 


下 一 代 互联 网 协议 IPv6 最 主要 的 特征 是 采用 128 位 的 地 址 空间 替代 IPv4 的 32 位 地 址 空间 ， 
提高 了 互联 网 的 地 址 容量 。 另外 , IPv6 在 安全 性 、 服 务 质 量 、 移 动 性 等 方面 都 具有 更 好 的 特性 ， 
采用 IPv6 的 下 一 代 互 联网 比 现在 的 互联 网 更 具有 扩展 性 ， 更 加 安全 ， 也 更 容易 提供 新 的 服务 。 
IPv6 也 是 三 网 融合 的 纽带 ， 建 设 基 于 IPv6 的 下 一 代 网 络 (NGN) 是 通信 产业 发 展 的 战略 方向 。 

推动 下 一 代 互联 网 研究 的 主要 因素 有 3 个 : 一 是 大 幅度 地 增加 人 P 地 址 供给 ， 二 是 开发 新 
的 网 络 应 用 ， 三 是 抢占 IT 产业 竞争 优势 。IP 地 址 资源 分 配 极为 不 公 ， 对 本 来 就 很 缺少 的 IPv4 
地 址 造成 了 很 大 的 浪费 , 亚太 地 区 和 欧洲 地 区 日 益 感到 下 地 址 短缺 的 压力 , 迫切 需要 增加 地 址 
资源 的 供给 。 另 一 方面 ， 随 着 电子 和 通信 产业 的 发 展 ， 新 的 智能 设备 和 移动 通信 终端 都 需要 联 
网 运行 ， 需 要 建立 新 的 网 络 服务 ， 而 Pv4 在 体系 结构 方面 的 先天 缺陷 影响 了 对 新 业务 的 支持 ， 
在 此 基础 上 修 修补 补 的 改进 使 得 网 络 设备 的 功能 差别 很 大 ， 网 络 的 可 扩展 性 和 可 伸缩 性 都 受到 
了 很 大 限制 。 最 后 ， 如 果 说 过 去 20 年 来 全 球 发 展 的 技术 引擎 是 互联 网 技术 的 突破 ， 那 么 开发 
下 一 代 互 联网 新 技术 就 是 攀登 未 来 信息 社会 的 制高点 ， 谁 抢占 了 这 一 制高点 ， 谁 就 能 在 未 来 的 
经 济 发 展 中 占据 主动 权 ， 亡 以 各 个 国家 都 不 遗 余力 地 投入 了 这 一 场 技术 竞赛 。 

通过 各 国 十 几 年 的 研发 和 试验 ， 目 前 的 IPv6 技术 标准 已 相对 成 熟 ， 多 个 国家 已 经 组 建 了 
规模 不 等 的 IPv6 试验 网 , 支持 IPv6 的 联网 设备 基本 成 熟 , 开发 新 的 IPv6 业务 也 取 了 一 些 进展 。 
从 全 球 IPv6 网 络 的 发 展 情况 来 看 ， 亚 太 地 区 和 欧洲 地 区 应 用 较 多 ， 日 本 、 韩 国 和 欧盟 在 IPv6 
产品 研发 和 产业 化 方面 走 在 了 前 面 ， 而 美国 相对 滞后 。 中 国 在 IPv6 领域 略 有 建树 ， 但 在 国家 战 
略 、 产 业 化 和 新 技术 研发 等 方面 与 日 韩 、 欧 盟 还 存在 不 小 的 差距 。 
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7.4.1 IP 地 址 的 分 配 


全 地 址 和 AS 号 码 的 分 配 主要 由 美国 掌控 。 在 互联 网 出 现 的 早期 ， 美 国 一 些 大 学 和 公司 占 
用 了 大 量 的 PPv4 地 址 ， 例 如 MIT、IBM 和 AT&T 分 别 占 用 了 大 约 1600 万 、1700 万 和 1900 万 
个 中 地 址 。 现在 中 国 获得 的 下 地 址 只 相当 于 美国 两 三 个 大 学 的 下 地址。 这 样 就 导致 了 一 方面 
大 量 的 正 地 址 被 浪费 ， 另 一 方面 美国 以 外 的 国家 和 地 区 深 感 他 地 址 紧缺 的 压力 。 

ICANN(The Internet Corporation for Assigned Names and Numbers ) 是 负责 互联 网 国际 域名 、 
地 址 和 号 码 管理 的 非 营 利 性 机 构 。ICANN 将 部 分 瑟 地 址 和 AS 号 码 分 配给 地 区 级 的 互联 网 注 
册 机 构 RIR (Regional Internet Registry)，RIR 再 将 地 址 分 配给 区 域内 的 本 地 互联 网 注册 机 构 
(Local Internet Registries，LIR) 和 互联 网 服务 提供 商 〈ISP)， 然 后 由 他 们 向 用 户 分 配 。 

图 7-30 是 现 有 的 5 个 RIR 管理 地 区 的 分 布 图 .APNIC(Asia and Pacific Network Information 
Center) 是 亚太 地 区 互联 网 络 信息 中 心 ，ARIN (American Registry for Intemet Numbers) 是 美国 
网 络 地 址 注册 管理 组 织 ， 负 责 北美 地 区 的 瑟 地 址 和 AS 号码 的 分 配 。LACNIC (Latin American 
and Caribbean Network Information Center) 是 拉丁 美洲 及 加 勒 比 地 区 的 互联 网 络 信息 中 心 。RIPE 
NCC (Réseaux IP Européens Network Coordination Centre) 负责 欧洲 地 区 他 地址 和 AS 号 码 的 
管理 。AfriNIC 是 非洲 的 网 络 信息 中 心 ，2005 年 4 月 才 从 RIPE NCC 分 离 出 来 。 


国 APNIC 三 ARIN 
于 sis NCC 国 LACNIC 国 Atrinic 


图 7-30 卫 地 址 地 区 注册 结构 


图 7-31 是 各 个 RIR 分 得 的 IPv4 地 址 的 比例 ,数据 来 源 于 号 码 资源 组 织 (Number Resource 
Organization，NRO) 于 2009 年 3 月 的 报告 (http://www.nro.org/statistics/index.html)。ICANN 
以 地 址 块 256/8 来 分 配 IPv4 地 址 ，5 个 RIR 已 经 获得 的 地 址 块 总 共 98 个 ， 其 他 地 址 块 或 者 是 
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IANA 保留 的 , 或 者 是 专门 用 途 的 〈 例 如 用 作 组 播 、 实 验 等 ), 还 有 一 些 是 美国 自己 使 用 的 。2008 
年 专家 预计 IPv4 地 址 资源 耗 尽 如 图 7-32 所 示 。 


IPv4 ADDRESS SPACE ISSUED 
(RIRs TO CUSTOMERS) 
In terms of /8s, how much total space has each RIR allocated? 
(Jon 1999 — Moar 2009) 


RIPE NCC 
22.76 


APNIC 25.54 
AfriNIC 0.88 
LACNIC 3.53 


ARIN 21.33 


图 7-31 RIR 获得 的 IPv4 地 址 的 比例 


IPv4 Address Pool 


IANA Policy » RIRs Allocated Pool for 12.24 Months Distribution 
Projections based on Jan 2000 to current 


图 7-32 ”IPv4 地 址 资源 消耗 的 预测 


应 对 IPv4 地 址 的 耗 尽 已 成 为 全 球 性 的 战略 问题 ， 目 前 许多 国家 都 鼓励 在 IPv6 网 络 上 进行 
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地 址 注册 。2006 年 ，IANA 已 经 为 五 大 洲 的 RIR 分 配 了 全 球 单 播 地 址 格式 前 级 ， 如 图 7-33 所 
示 。 图 7-34 表示 各 个 RIR 已 经 获得 的 IPv6 地 址 资源 ， 从 卫 v6 地 址 的 分 配 情 况 可 以 看 出 下 一 代 
互联 网 在 各 个 地 区 的 发 展 程度 。 


一 ALLIPv6 SPACE 


RIRs 5 /12s (October 2006) 


|RIR | IPv6 ADDRESS 


A 1 
RIPE / 15- cd 1 


2 tg 3 
a 7 
”BE 5 斤 7 


SERVED FOR RIPE NCC 


图 7-33 ”IPv6 地 址 分 配 状态 


have Be a by eacl RIR? ee Rs each RIR ed 


RIPE NCC 1,199 RIPE NCC 33,235 
AfriNIC 65 . 


re 65 
LACNIC 163 /32s LACNIC 175 
APNIC 453 ARIN 14,851 


一 ARIN 496 APNIC 24,318 


图 7-34 各 个 RIR 已 经 分 配 的 IPv6 地 址 


7.4.2 ”我 国 的 下 一 代 互 联网 研究 

中 国 下 一 代 互 联网 示范 工程 (CNGI) 项 目 是 于 2003 年 酝酿 并 启动 的 。 截 至 目前 ，CNGI 
已 经 建成 了 由 6 个 主干 网 、 两 个 国际 交换 中 心 及 相应 的 传输 链 路 组 成 的 核心 网 络 。CERNET2、 
中 国电 信 、 中 国 网 通 / 中 科 院 、 中 国 移动 、 中国 联通 和 中 国 铁通 这 6 个 主干 网 以 及 国际 交换 中 心 
已 全 部 完成 验收 。 


1. CERNET2 


CERNET2 (图 7-35) 是 CNGI 中 规模 最 大 的 主干 网 ， 也 是 目前 世界 上 规模 最 大 的 采用 纯 
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IPv6 技术 的 下 一 代 互 联网 。 它 以 2.5G 一 10G 速率 连接 全 国 20 个 城市 的 25 个 主干 网 核心 节点 ， 

为 全 国 高 校 和 科研 单位 提供 高 速 IPv6 接 入 服务 ,在 此 基础 上 实现 了 全 国 160 所 大 学 的 高 速 接 入 ， 

已 经 有 40 余 项 下 一 代 互 联网 技术 试验 、 应 用 示范 和 产业 化 项 目 连接 到 CERNET2 主干 网 上 进行 

项 目 研究 和 成 果 测 试 。 该 项 目 还 建成 了 CNGI 国际 /国内 互联 中 心 , 实现 了 6 个 CNGI 主干 网 的 

互联 ， 并 与 北美 、 欧 洲 、 亚 太 等 地 区 的 国际 下 一 代 互 联网 实现 了 高 速 互联 ， 使 CNGI 成 为 国际 
一 代 互 联网 的 重要 组 成 部 分 。 


中 国教 育 和 科研 计算 机 网 


美国 Internet2 
人 | i 下 一 代 IPv6 主 干 网 CERNET2 


图 7-35 CERNET2 示意 图 


2. GLORIAD 


2002 年 2 月, 美国 国家 科学 基金 会 资助 的 美 俄 科教 网 络 (NaukaNet) 项 目 提出 与 中 国 建立 
战略 伙伴 关系 ， 并 在 北半球 建立 环形 科教 网 络 的 设想 。2004 年 1 月 12 日 ， 中 美 俄 环球 科教 网 
络 (GLORIAD) 正式 开通 。 

GLORIAD 是 在 美 、 俄 之 间 5 年 期 科学 网 项 目的 基础 上 增加 中 美和 中 俄 的 连接 而 建成 的 闭 
环 网 络 ， 以 支持 科研 、 教 育 方面 的 国际 合作 。 这 条 新 的 连接 使 美国 的 科研 机 构 能 够 通过 中 国 科 
学 院 院 网 与 俄罗斯 远东 地 区 的 科学 团体 进行 交流 。GLORIAD 计划 包括 下 面 4 个 方面 的 内 容 : 

(1) 网 络 传输 基础 设施 的 研究 和 建设 。 利 用 先进 的 光 传输 /交换 技术 ， 建 设 一 个 横 跨 中 国 、 
美国 、 俄 罗斯 以 及 太平 洋 和 大 西洋 的 环形 光 网 络 ， 设计 传输 速率 为 10Gbps。 相 应 的 光 交 换 节点 
分 别 设 在 芝加哥 、 阿 姆 斯 特 丹 、 莫 斯 科 、 新 西伯 利 亚 、 北 京 和 香港 。 该 环形 网 络 的 拓扑 结构 充 


图 7-36 GLORIAD 


(2) 网 络 重要 支撑 技术 的 研究 、 运 行 和 试验 。 为 了 更 好 地 适应 先进 科学 应 用 的 需要 ， 提 供 
更 高 的 性 能 ,在 网 络 层 将 采用 IPv6 协议 实现 互 连 , 提供 端 到 端的 资源 分 配 和 调度 能 力 ,提供 能 
够 自动 更 新 网 络 设备 的 软件 系统 ,通过 在 核心 网 络 使 用 MPLS 等 技术 提供 改进 的 网 络 服务 质量 ， 
同时 要 研发 各 种 网 络 监控 和 管理 工具 ， 以 最 大 限度 地 满足 网 络 管理 和 终端 用 户 的 需求 。 

(3) 网 络 应 用 服务 软件 和 中 间 件 的 研究 、 运 行 和 试验 。 通 过 采用 基于 网 格 的 软件 技术 实现 
网 络 资源 、 数 据 资源 、 计 算 资源 、 科 学 仪器 资源 和 用 户 团体 资源 的 整合 和 协同 工作 。 

(4) 建立 强大 的 科学 教育 应 用 联盟 。GLORIAD 计划 主要 面向 科学 家 、 教 育 工作 者 、 政 策 
制定 者 、 公 共 组 织 等 ， 确 定 这 些 团体 的 应 用 需求 ， 然 后 使 他 们 逐步 了 解 这 个 网 络 潜在 的 服务 和 
功能 ， 最 后 给 这 些 团体 提供 更 多 的 机 会 进行 协作 与 资源 共享 。 


so 


因特网 的 迅速 发 展 给 社会 生活 带 来 了 前 所 未 有 的 便利 , 这 主要 得 益 于 因特网 的 开放 性 和 匿 
名 性 特征 。 然 而 ， 正 是 这 些 特征 决定 了 因特网 不 可 避免 地 存在 着 信息 安全 隐患 。 本 章 介绍 网 络 
安全 方面 存在 的 问题 及 其 解决 办 法 ， 即 网 络 通信 中 的 数据 保密 技术 、 签 名 与 认证 技术 ， 以 及 有 
关 网 络 安全 威胁 的 理论 和 解决 方案 。 


8.1 网 络 安全 的 基本 概念 


8.1.1 网 络 安全 威胁 的 类 型 


网 络 威胁 是 对 网 络 安全 缺陷 的 潜在 利用 ， 这 些 缺陷 可 能 导致 非 授 权 访 问 、 信 息 汇 露 、 资 源 
耗 尽 、 资 源 被 次 或 者 被 破坏 等 。 网 络 安全 所 面临 的 威胁 可 以 来 自 很 多 方面 ， 并 且 随 着 时 间 的 变 
化 而 变化 。 网 络 安全 威胁 有 以 下 几 类 。 

(1) 窃听 。 在 广播 式 网 络 系统 中 ， 每 个 节点 都 可 以 读 取 网 上 传输 的 数据 ， 例 如 搭 线 窃听 、 
安装 通信 监视 器 和 读 取 网 上 的 信息 等 。 网 络 体系 结构 允许 监视 器 接收 网 上 传输 的 所 有 数据 帧 而 
不 考虑 帧 的 传输 目标 地 址 ， 这 种 特性 使 得 偷 听 网 上 的 数据 或 非 授 权 访 问 很 容易 而 且 不 易 发 现 。 

(2) 假冒 。 当 一 个 实体 假扮 成 另 一 个 实体 进行 网 络 活动 时 就 发 生 了 假冒 。 

(3) 重 放 。 重 复 一 份 报 文 或 报 文 的 一 部 分 ， 以 便 产 生 一 个 被 授权 效果 。 

(4) 流量 分 析 。 通 过 对 网 上 信息 流 的 观察 和 分 析 推断 出 网 上 传输 的 有 用 信息 ， 例 如 有 无 传 
输 ， 传 输 的 数量 、 方 向 和 频率 等 。 由 于 报头 信息 不 能 加 密 ， 所 以 即使 对 数据 进行 了 加 密 处 理 ， 
也 可 以 进行 有 效 的 流量 分 析 。 

(5) 数据 完整 性 破坏 。 有 意 或 无 意 地 修改 或 破坏 信息 系统 ， 或 者 在 非 授权 和 不 能 监测 的 方 
式 下 对 数据 进行 修改 。 

(6) 拒绝 服务 。 当 一 个 授权 实体 不 能 获得 应 有 的 对 网 络 资源 的 访问 或 紧急 操作 被 延迟 时 ， 
就 发 生 了 拒绝 服务 。 

(7) 资源 的 非 授权 使 用 。 即 与 所 定义 的 安全 策略 不 一 致 的 使 用 。 

(8) 陷 门 和 特洛伊 木马 。 通 过 替换 系统 合法 程序 ， 或 者 在 合法 程序 里 插入 恶意 代码 ， 以 实 
现 非 授权 进程 ， 从 而 达到 某 种 特定 的 目的 。 

(9) 病毒 。 随 着 人 们 对 计算 机 系统 和 网 络 依赖 程度 的 增加 ， 计 算 机 病毒 已 经 构成 了 对 计算 
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机 系统 和 网 络 的 严重 威胁 。 
(10) 诽谤 。 利 用 计算 机 信息 系统 的 广泛 互 连 性 和 匿名 性 散布 错误 的 消息 ， 以 达到 诉 毁 某 
个 对 象 的 形象 和 知名 度 的 目的 。 


8.1.2 ”网 络 安全 漏洞 


通常 ， 入 侵 者 寻找 网 络 存在 的 安全 弱点 ， 从 缺口 处 无 声 无 息 地 进入 网 络 。 因 而 开发 黑客 反 
击 武器 的 思想 是 找 出 现行 网 络 中 的 安全 弱点 ， 演 示 、 测 试 这 些 安全 漏洞 ， 然 后 指出 应 如 何 堵 住 
安全 漏洞 。 当 前 ， 信 息 系统 的 安全 性 非常 弱 ， 主 要 体现 在 操作 系统 、 计 算 机 网 络 和 数据 库 管理 
系统 都 存在 安全 隐患 ， 这 些 安全 隐患 表现 在 以 下 方面 。 

(1) 物理 安全 性 。 凡 是 能 够 让 非 授权 机 器 物理 接 入 的 地 方 都 会 存在 潜在 的 安全 问题 ， 也 就 
是 能 让 接 入 用 户 做 本 不 允许 做 的 事情 。 

(2) 软件 安全 漏洞 。“ 特 权 ” 软 件 中 带 有 恶意 的 程序 代码 ， 从 而 可 以 导致 其 获得 额外 的 权限 。 

(3) 不 兼容 使 用 安全 漏洞 。 当 系统 管理 员 把 软件 和 硬件 捆绑 在 一 起 时 ， 从 安全 的 角度 来 看 ， 
可 以 认为 系统 将 有 可 能 产生 严重 安全 隐患 。 所 谓 的 不 兼容 性 问题 ， 即 把 两 个 毫 无 关系 但 有 用 的 
事物 连接 在 一 起 ， 从 而 导致 了 安全 漏洞 。 一 旦 系统 建立 和 运行 ， 这 种 问题 很 难 被 发 现 。 

(4) 选择 合适 的 安全 哲理 。 这 是 一 种 对 安全 概念 的 理解 和 直觉 。 完 美的 软件 ， 受 保护 的 硬 
件 和 兼容 部 件 并 不 能 保证 正常 而 有 效 地 工作 ， 除 非 用 户 选择 了 适当 的 安全 策略 和 打开 了 能 增加 
其 系统 安全 的 部 件 。 


8.1.3 ”网络 攻 击 


攻击 是 指 任何 的 非 授权 行为 。 攻 击 的 范围 从 简单 的 使 服务 器 无 法 提供 正常 的 服务 到 完全 破 
坏 、 控 制服 务 器 。 在 网 络 上 成 功 实施 的 攻击 级 别 依赖 于 用 户 采 取 的 安全 措施 。 

攻击 的 法 律 定 义 是 “攻击 仅仅 发 生 在 入 侵 行 为 完全 完成 而 且 入 侵 者 已 经 在 目标 网 络 内 ”。 
专家 的 观点 则 是 “可 能 使 一 个 网 络 受到 破坏 的 所 有 行为 都 被 认定 为 攻击 ”。 

网 络 攻击 可 以 分 为 以 下 几 类 。 

(1) 被 动 攻击 。 攻击 者 通过 监视 所 有 信息 流 以 获得 某 些 秘密 。 这 种 攻击 可 以 是 基于 网 络 ( 跟 
踪 通 信和 链 路 ) 或 基于 系统 〈 用 秘密 抓 取 数据 的 特洛伊 木马 代替 系统 部 件 ) 的 。 被 动 攻击 是 最 难 
被 检测 到 的 ， 故 对 付 这 种 攻击 的 重点 是 预防 ， 主 要 手段 有 数据 加 密 等 。 

(2) 主动 攻击 。 攻 击 者 试图 突破 网 络 的 安全 防线 。 这 种 攻击 涉及 数据 流 的 修改 或 创建 错误 
流 ， 主 要 攻击 形式 有 假冒 、 重 放 、 欺 骗 、 消 息 纂 改 和 拒绝 服务 等 。 这 种 攻击 无 法 预防 但 却 易于 
检测 ， 故 对 付 的 重点 是 测 而 不 是 防 ， 主 要 手段 有 防火 墙 、 入 侵 检测 技术 等 。 

(3) 物理 临近 攻击 。 在 物理 临近 攻击 中 未 授权 者 可 物理 上 接近 网 络 、 系 统 或 设备 ， 目 的 是 
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修改 、 收 集 或 拒绝 访问 信息 。 

(4) 内 部 人 员 攻 击 。 内 部 人 员 攻 击 由 这 些 人 实施 ， 他 们 要 么 被 授权 在 信息 安全 处 理 系 统 的 
物理 范围 内 ， 要 么 对 信息 安全 处 理 系统 具有 直接 访问 权 。 有 恶意 的 和 非 恶 意 的 〈 不 小 心 或 无 知 
的 用 户 ) 两 种 内 部 人 员 攻 击 。 

(5) 分 发 攻击 。 分 发 攻击 是 指 在 软件 和 硬件 开发 出 来 之 后 和 安装 之 前 这 段 时 间 ， 或 当 它 从 
一 个 地 方 传 到 另 一 个 地 方 时 ， 攻 击 者 恶意 修改 软 /硬件 。 


8.1.4 安全 措施 的 目标 


安全 措施 的 目标 如 下 。 

(1) 访问 控制 。 确 保 会 话 对 方 ( 人 或 计算 机 ) 有 权 做 它 所 声称 的 事情 。 

(2) 认证 。 确 保 会 话 对 方 的 资源 (人 或 计算 机 与 它 声 称 的 相 一 致 。 

(3) 完整 性 。 确 保 接收 到 的 信息 与 发 送 的 一 致 。 

(4) 审计 。 确 保 任何 发 生 的 交易 在 事后 可 以 被 证 实 ， 发 信者 和 收 信者 都 认为 交换 发 生 过 ， 
即 所 谓 的 不 可 抵赖 性 。 

(5) 保密 。 确 保 敏感 信息 不 被 窍 听 。 

因特网 安全 话题 分 散 而 复杂 。 因 特 网 的 不 安全 因素 一 方面 来 自 于 其 内 在 的 特性 一 一 先天 不 
足 。 因 特 网 连接 着 成 千 上 万 的 区 域 网 络 和 商业 服务 供应 商 的 网 络 。 网 络 规模 越 大 ， 通 信 链 路 越 
长 ， 则 网 络 的 脆弱 性 和 安全 问题 也 随 之 增加 。 而 且 因特网 在 设计 之 初 是 以 提供 广泛 的 互 连 、 互 
操作 、 信 息 资源 共享 为 目的 的 ， 因 此 其 侧重 点 并 不 在 安全 上 。 这 在 当初 把 因特网 作为 科学 研究 
用 途 时 是 可 行 的 ， 但 是 在 当今 电子 商务 炙手可热 之 时 ， 网 络 安全 问题 已 经 成 为 了 一 种 阻碍。 另 
一 方面 是 缺乏 系统 的 安全 标准 。 众 所 周知 ， 因 特 网 工程 任务 组 (IETF) 负责 开发 和 发 布 因特网 
使 用 标准 ， 而 不 是 遵循 IETF 的 标准 化 进程 ， 这 使 得 正 TF 的 地 位 变 得 越 来 越 模糊 不 清 。 


8.1.5 ”基本 安全 技术 


任何 形式 的 网 络 服务 都 会 导致 安全 方面 的 风险 ， 问 题 是 如 何 将 风险 降低 到 最 低 程度 ， 目 前 
的 网 络 安全 措施 有 数据 加 密 、 数 字 签名 、 身 份 认证 、 防 火 墙 和 入 侵 检 测 等 。 

(1) 数据 加 密 。 数 据 加 密 是 通过 对 信息 的 重新 组 合 ， 使 得 只 有 收发 双方 才能 解码 并 还 原 信 
息 的 一 种 手段 。 随 着 相关 技术 的 发 展 ， 加 密 正 逐 步 被 集成 到 系统 和 网 络 中 。 在 硬件 方面 ， 已 经 
在 研制 用 于 PC 和 服务 器 主板 的 加 密 协 处 理 器 。 

(2) 数字 签名 。 数 字 签 名 可 以 用 来 证 明 消 息 确实 是 由 发 送 者 签发 的 ， 而 且 ， 当 数字 签名 用 
于 存储 的 数据 或 程序 时 ， 可 以 用 来 验证 数据 或 程序 的 完整 性 。 

(3) 身份 认证 。 有 多 种 方法 来 认证 一 个 用 户 的 合法 性 ， 例 如 密码 技术 、 利 用 人 体 生 理 特征 
〈 如 指纹 ) 进行 识别 、 智 能 IC 卡 和 USB 盘 等 。 


第 8 章 网 络 安全 “ 国 3o7 医 


(4) 防火 墙 。 防 火 墙 是 位 于 两 个 网 络 之 间 的 屏障 ， 一 边 是 内 部 网 络 〈 可 信赖 的 网 络 )， 另 
一 边 是 外 部 网 络 〈 不 可 信赖 的 网 络 )。 按 照 系统 管理 员 预 先 定义 好 的 规则 控制 数据 包 的 进出 。 
(5) 内 容 检查 。 即 使 有 了 防火 墙 、 身 份 认证 和 加 密 ， 人 们 仍 担心 遭 到 病毒 的 攻击 。 


8.2 ”信息 加 密 技术 


信息 安全 技术 是 一 门 综合 的 学 科 ， 它 涉及 信息 论 、 计 算 机 科学 和 密码 学 等 多 方面 知识 ， 主 
要 任务 是 研究 计算 机 系统 和 通信 网 络 内 信息 的 保护 方法 ， 以 实现 系统 内 信息 的 安全 、 保 密 、 真 
实 和 完整 。 其 中 ， 信 息 安 全 的 核心 是 密码 技术 。 

传统 的 加 密 系 统 是 以 密 钥 为 基础 的 ， 这 是 一 种 对 称 加 密 ， 也 就 是 说 ， 用 户 使 用 同一 个 密 钥 
加 密 和 解密 。 而 公 钥 则 是 一 种 非 对 称 加 密 方法 ， 加 密 者 和 解密 者 各 自 拥有 不 同 的 密 钥 。 当 然 ， 
还 有 其 他 的 诸如 流 密码 等 加 密 算法 。 
8.2.1 数据 加 密 原 理 


数据 加 密 是 防止 未 经 授权 的 用 户 访问 敏感 信息 的 手段 ， 这 就 是 人 们 通常 理解 的 安全 措施 ， 
也 是 其 他 安全 方法 的 基础 。 研 究 数据 加 密 的 科学 叫 作 密 码 学 (Cryptography)， 它 又 分 为 设计 密 
码 体制 的 密码 编码 学 和 破译 密码 的 密码 分 析 学 。 密 码 学 有 着 悠久 而 光辉 的 历史 ， 古 代 的 军事 家 
已经 用 密码 传递 军事 情报 了 ， 而 现代 计算 机 的 应 用 和 计算 机 科学 的 发 展 又 为 这 一 古老 的 科学 注 
入 了 新 的 活力 。 现 代 密 码 学 是 经 典 密码 学 的 进一步 发 展 和 完善 。 由 于 加 密 和 解密 此 消 彼 长 的 斗 
争 永远 不 会 停止 ， 这 门 科学 还 在 迅速 发 展 之 中 。 

一 般 的 保密 通信 模型 如 图 8-1 所 示 。 


发 送 端 偷 听 者 接收 端 
明文 P 加 密 算法 E 解密 算法 D 明文 P 
密 文 C=E(K,P) t 
密 钥 K 密 钥 K 


图 8-1 保密 通信 模型 

在 发 送 端 ， 把 明文 了 用 加 密 算 法 EE 和 密 钥 KK 加密， 变换 成 密 文 C， 即 

C=E(K, P) 
在 接收 端 利 用 解密 算法 D 和 密 钥 K 对 C 解密 得 到 明文 P， 即 

P=DEK,O) 
这 里 加 /解密 函数 E 和 D 是 公开 的 ， 而 密 钥 K〈 加 解密 函数 的 参数 〉 是 秘密 的 。 在 传送 过 

程 中 , 偷 听 者 得 到 的 是 无 法 理解 的 密 文 , 而 且 他 得 不 到 密 钥 , 这 就 达到 了 对 第 三 者 保密 的 目的 。 

不 论 偷 听 者 获取 了 多 少 密 文 ， 如 果 密 文中 没有 足够 的 信息 可 以 确定 出 对 应 的 明文 ， 则 这 种 
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密码 体制 是 无 条 件 安全 的 ， 或 称 为 是 理论 上 不 可 破解 的 。 在 无 任何 限制 的 条 件 下 ， 目 前 几乎 所 
有 的 密码 体制 都 不 是 理论 上 不 可 破解 的 。 能 否 破解 给 定 的 密码 ， 取 决 于 使 用 的 计算 资源 。 所 以 
密码 专家 们 研究 的 核心 问题 就 是 要 设计 出 在 给 定 计算 费 用 的 条 件 下 ， 计 算 上 而 不 是 理论 上 》 
安全 的 密码 体制 。 下 面 分 析 几 种 曾经 使 用 过 的 和 目前 正在 使 用 的 加 密 方法 。 


8.2.2 经典 加 密 技 术 


所 谓 的 经 典 加 密 方法 ， 主 要 使 用 了 以 下 3 种 加 密 技术 。 

(1) 替换 加 密 (substitution)。 用 一 个 字母 蔡 换 另 一 个 字母 ， 例 如 Caesar 密码 (D 替换 a， 
EE 替换 b 等 )。 这 种 方法 保留 了 明文 的 顺序 , 可 根据 自然 语言 的 统计 特性 (例如 字母 出 现 的 频率 ) 
破译 。 

(2) 换 位 加 密 〈transposition)。 按 照 一 定 的 规律 重 排 字母 的 顺序 。 例 如 以 CIPHER 作为 密 
钥 〈 仅 表示 顺序 )， 对 明文 attackbeginsatfour 加 密 ， 得 到 密 文 abacnuaiotettgfksr， 如 图 8-2 所 示 。 
偷 听 者 得 到 密 文 后 检查 字母 出 现 的 频率 即 可 确定 加 密 方法 是 换 位 密码 ， 然 后 若 能 根据 其 他 情况 
猜测 出 一 段 明文 ， 就 可 确定 密 钥 的 列 数 ， 再 重 排 密 文 的 顺序 进行 破译 。 


密 钥 CIPHER 

顺序 145326 

明文 attack 
begins 
atfour 

密 文 abacnuaiotettgfksr 


图 8-2 ” 换 位 加 密 的 例子 


(3) 一 次 性 填充 (one-time pad)。 把 明文 变 为 位 串 〈 例 如 用 ASCII 编码 )， 选 择 一 个 等 长 
的 随机 位 串 作为 密 钥 ， 对 二 者 进行 按 位 异 或 得 到 密 文 。 这 样 的 密码 在 理论 上 是 不 可 破解 的 ， 但 
是 这 种 密码 有 实际 的 缺陷 。 首 先是 密 钥 无 法 记忆 ， 必 须 写 在 纸 上 ， 这 在 实践 上 是 最 不 可 取 的 ; 
其 次 是 密 钥 长 度 有 限 ， 有 时 可 能 不 够 使 用 ， 最 后 是 这 个 方法 对 插入 或 丢失 字符 的 敏感 性 ， 如 果 
发 送 者 与 接收 者 在 某 一 点 上 失去 同步 ， 以 后 的 报 文 就 全 都 无 用 了 。 
8.2.3 ”现代 加 密 技术 

现代 密码 体制 使 用 的 基本 方法 仍然 是 替换 和 换 位 , 但 是 采用 更 加 复杂 的 加 密 算法 和 简单 的 
密 钥 ， 而 且 增 加 了 对 付 主动 攻击 的 手段 。 例 如 加 入 随机 的 宛 余 信息 ， 以 防止 制造 假 消息 ， 加 入 


时 间 控 制 信息 ， 以 防止 旧 消 息 重 放 。 
替换 和 换 位 可 以 用 简单 的 电路 来 实现 。 图 8-3 (a) 所 示 的 设备 称 为 P 盒 (Permutation box)， 
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用 于 改变 8 位 输入 线 的 排列 顺序 ,可 以 看 出 , 左边 输入 端 经 P 盒 变换 后 的 输出 顺序 为 36071245。 
图 8-3 (b) 所 示 的 设备 称 为 S 盒 (Substitution box)， 起 置换 作用 ， 从 左边 输入 的 3 位 首先 被 解 
码 ， 选 择 8 根 P 盒 输入 中 的 1 根 ， 将 其 置 1， 其 他 线 置 0， 经 编码 后 在 右边 输出 。 可 以 看 出 ， 
如 果 01234567 依次 输入 ， 其 输出 为 24506713 。 


了 P 盒 S 盒 乘积 密码 


一 -解码 | 编码 


Pl P2 P3 了 P4 
S3 S7 S11 


2 an wo-o 


| 
加 


S12 


(Ca) P 盒 (b) S 盒 (c) 乘积 
图 8-3 ”乘积 密码 的 实现 

把 一 串 盒 子 连接 起 来 ， 可 以 实现 复杂 的 乘积 密码 (Product cipher)， 如 图 8-3(c) 所 示 ， 它 
可 以 对 12 位 进行 有 效 的 置换 。P1 的 输入 有 12 根 线 ，P1 的 输出 有 22 王 4096 根 线 ， 由 于 第 二 级 
使 用 了 4 个 $ 盒 ， 所 以 每 个 $S 的 输入 只 有 1024 根 线 ， 这 就 简化 了 S 盒 的 复杂 性 。 在 乘积 密码 
中 配置 足够 多 的 设备 , 可 以 实现 非常 复杂 的 置换 函数 。 下 面 介绍 的 DES 算法 就 是 用 类 似 的 方法 
实现 的 。 

1. DES (Data Encryption Standard) 

1977 年 1 月， 美国 NSA (National Security Agency) 根据 IBM 的 专利 技术 Lucifer 制订 了 


DES。 明 文 被 分 成 64 位 的 块 ， 对 每 个 块 进行 19 次 变换 ( 蔡 代 和 换 位 )， 其 中 16 次 变换 由 56 位 
的 密 钥 的 不 同 排列 形式 控制 (IBM 使 用 的 是 128 位 的 密 钥 ), 最 后 产生 64 位 的 密 文 块 , 如 图 8-4 


所 示 。 
明文 py 向 密 广 
&__。 | 初始 交换 16 次 普 换 和 换 位 反 向 交换 | 


图 8-4 ”DES 加密 算法 


由 于 NSA 减少 了 密 钥 ， 而 且 对 DES 的 制订 过 程 保密 ， 甚 至 为 此 取消 了 IEEE 计划 的 一 次 
密码 学 会 议 。 人 们 怀疑 NSA 的 目的 是 保护 自己 的 解密 技术 ， 因 而 对 DES 从 一 开始 就 充满 了 怀 
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疑 和 争论 。 

1977 年 ，Diffie 和 Hellman 设计 了 DES 解密 机 。 只 要 知道 一 小 段 明文 和 对 应 的 密 文 ， 该 机 
器 就 可 以 在 一 天 之 内 穷 试 2* 种 不 同 的 密 钥 (这 叫 作 野蛮 攻 击 )。 据 估计 ， 这 个 机 器 当时 的 造价 
为 2 千 万 美元 。 


2. 三 重 DES (Triple-DES) 


这 种 方法 是 DES 的 改进 算法 , 它 使 用 两 把 密 钥 对 报 文 做 三 次 DES 加 密 , 效 果 相 当 于 将 DES 
密 钥 的 长 度 加 倍 ， 克 服 了 DES 密 钥 长 度 较 短 的 缺点 。 本 来 ， 应 该 使 用 3 个 不 同 的 密 钥 进行 3 
次 加 密 ， 这 样 就 可 以 把 密 钥 的 长 度 加 长 到 3X56 王 168 位 。 但 许多 密码 设计 者 认为 168 位 的 密 
钥 已 经 超过 了 实际 需要 , 所 以 便 在 第 一 层 和 第 三 层 中 使 用 相同 的 密 钥 , 产生 一 个 有 效 长 度 为 112 
位 的 密 钥 。 之 所 以 没有 直接 采用 两 重 DES， 是 因为 第 二 层 DES 不 是 十 分 安全 ， 它 对 一 种 称 为 
“中 间 可 遇 ” 的 密码 分 析 攻 击 极为 脆弱 ， 所 以 最 终 还 是 采用 了 利用 两 个 密 钥 进行 三 重 DES 加 密 
操作 。 

假设 两 个 密 钥 分 别 是 Kl 和 K2， 其 算法 的 步骤 如 下 。 

(1) 用 密 钥 Kl 进行 DES 加 密 。 

(2) 用 K2 对 步骤 (1) 的 结果 进行 DES 解密 。 

(3) 对 步骤 (2) 的 结果 使 用 密 钥 Kl 进行 DES 加 密 。 

这 种 方法 的 缺点 是 要 花费 原来 三 倍 的 时 间 ， 但 从 另 一 方面 来 看 ， 三 重 DES 的 112 位 密 钥 
长 度 是 很 “强壮 ”的 加 密 方式 。 

3. IDEA (International Data Encryption Algorithm) 


1990 年 ， 瑞 士 联邦 技术 学 院 的 来 学 嘉和 Massey 建议 了 一 种 新 的 加 密 算法 。 这 种 算法 使 用 
128 位 的 密 钥 ， 把 明文 分 成 64 位 的 块 ， 进 行 8 轮 迭 代 加 密 。IDEA 可 以 用 硬件 或 软件 实现 ， 并 
且 比 DES 快 。 在 苏黎世 技术 学 院 用 25MHz 的 VLSI 芯片 ， 加 密 速率 是 177Mbps。 

IDEA 经 历 了 大 量 的 详细 审查 ， 对 密码 分 析 具 有 很 强 的 抵抗 能 力 ， 在 多 种 商业 产品 中 得 到 
应 用 ， 已 经 成 为 全 球 通 用 的 加 密 标准 。 


4. 高 级 加 密 标准 (Advanced Encryption Standard，AES) 


1997 年 1 月 ， 美 国 国家 标准 与 技术 局 (NIST) 为 高 级 加 密 标准 征集 新 算法 。 最 初 从 许多 
响应 者 中 挑选 了 15 个 候选 算法 ， 经 过 世界 密码 共同 体 的 分 析 ， 选 出 了 其 中 的 5 个 。 经 过 用 
ANSIC 和 Java 语言 对 5 个 算法 的 加 /解密 速度 、 密 钥 和 算法 的 安装 时 间 ， 以 及 对 各 种 攻击 的 拦 
截 程度 等 进行 了 广泛 的 测试 后 ，2000 年 10 月 ，NIST 宣布 Rijndael 算法 为 AES 的 最 佳 候 选 算 
法 ， 并 于 2002 年 5 月 26 日 发 布 为 正式 的 AES 加 密 标准 。 
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AES 支持 128、192 和 256 位 3 种 密 钥 长 度 ， 能 够 在 世界 范围 内 免 版 税 使 用 ， 提 供 的 安全 
级 别 足 以 保护 未 来 20 一 30 年 内 的 数据 ， 可 以 通过 软件 或 硬件 实现 。 


5. 流 加 密 算法 和 RC4 


所 谓 流 加 密 ， 就 是 将 数据 流 与 密 钥 生成 二 进 制 比特 流 进行 异 或 运算 的 加 密 过 程 。 这 种 算法 
采用 以 下 两 个 步骤 。 
(1) 利用 密 钥 民生 成 一 个 密 钥 流 KS 〈 伪 随机 序列 )。 
(2) 用 密 钥 流 KS 与 明文 P 进行 “ 异 或 ”运算 ， 产 生 密 文 C。 
C=P@KS (K) 
解密 过 程 则 是 用 密 钥 流 与 密 文 C 进行 “ 异 或 ”运算 ， 产 生 明文 P。 
P=C@KS (K) 
为 了 安全 ， 对 不 同 的 明文 必须 使 用 不 同 的 密 钥 流 ， 否 则 容易 被 破解 。 
Ronald L. Rivest 是 MIT 的 教授 ， 用 他 的 名 字 命 名 的 流 加 密 算法 有 RC2 一 RC6 系列 算法 ， 
其 中 RC4 是 最 常用 的 。 
RC 代表 Rivest Cipher 或 Ron's Cipher，RC4 是 Rivest 在 1987 年 设计 的 ， 其 密 钥 长 度 可 选 
择 64 位 或 128 位 。 
RC4 是 RSA 公司 私有 的 商业 机 密 ，1994 年 9 月 被 人 匿名 发 布 在 因特网 上 ， 从 此 得 以 公开 。 
这 个 算法 非常 简单 ， 就 是 256 内 的 加 法 、 置 换 和 蜡 或 运算 。 由 于 简单 ， 所 以 速度 极 快 ， 加 密 的 
速度 可 达到 DES 的 10 倍 。 


6 公 钥 加 密 算法 


以 上 加 密 算法 中 使 用 的 加 密 密 钥 和 解密 密 钥 是 相同 的 ， 称 为 共享 密 钥 算 法 或 对 称 密 钥 算 
法 。1976 年 ， 斯 坦 福 大 学 的 Diffie 和 Hellman 提出 了 使 用 不 同 的 密 钥 进行 加 密 和 解密 的 公 钥 加 
密 算法 。 设 了 为 明文 ，C 为 密 文 ，E 为 公 钥 控制 的 加 密 算 法 ，D 为 私 钥 控制 的 解密 算法 ， 这 些 
参数 满足 下 列 3 个 条 件 。 

(1) DGE(D))=P。 

(2) 不 能 由 E 导出 DD。 

(3) 选择 明文 攻击 (选择 任意 明文 一 密 文 对 以 确定 未 知 的 密 钥 ) 不 能 破解 E。 

加 密 时 计算 C=E(P)， 解密 时 计算 P=D(C)。 加 密 和 解密 是 互 逆 的 。 用 公 钥 加 密 ， 私 钥 解 密 ， 
可 实现 保密 通信 ; 用 私 钥 加 密 ， 公 钥 解 密 ， 可 实现 数字 签名 。 


7. RSA (Rivest Shamir and Adleman) 算法 


这 是 一 种 公 钥 加 密 算法 ， 方 法 是 按照 下 面 的 要 求 选择 公 钥 和 密 钥 。 
(1) 选择 两 个 大 素数 p 和 g (大 于 10'™)。 
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(2) 令 -p*9、 一 CD-D*G-D。 
(3) 选择 4 与 2 互 质 。 
(4) 选择 e， 使 e*qd=] (mod =)。 
明文 了 被 分 成 位 的 块 ,， 大 是 满足 2<<n 的 最 大 整数 ， 于 是 有 0<P<n。 加 密 时 计算 
C=P* (modn) 
这 样 公 钥 为 (e,n)。 解 密 时 计算 
P=C” (modn) 
即 私 钥 为 (dn)。 
用 例子 说 明 这 个 算法 , 设 p=3, gq=11, n=33, 二 20, 4=7, e=3, C=P? (mod 33)，P=C7 (mod 
33)。 则 有 
C=23 (mod33) =8 (mod33) =8 
了 P=87 (mod 33) =2097152 (mod 33) =2 
RSA 算法 的 安全 性 基于 大 素数 分 解 的 困难 性 。 如 果 攻 击 者 可 以 分 解 已 知 的 mw 得 到 已 和 9， 
然后 可 得 到 =， 最 后 用 Euclid 算法 ， 由 e 和 = 得 到 dg。 然 而 要 分 解 200 位 的 数 ， 需 要 40 亿 年 ; 
分 解 500 位 的 数 ， 则 需要 10” 年 。 


8.3 认证 


认证 又 分 为 实体 认证 和 消息 认证 两 种 。 实 体 认证 是 识别 通信 对 方 的 身份 ， 防 止 假冒 ， 可 以 
使 用 数字 签名 的 方法 。 消 息 认证 是 验证 消息 在 传送 或 存储 过 程 中 有 没有 被 算 改 ， 通 常 使 用 报 文 
摘要 的 方法 。 下 面 介绍 3 种 身份 认证 的 方法 ， 前 两 种 是 基于 共享 密 钥 的 ， 最 后 一 种 是 基于 公 铀 
的 认证 。 

8.3.1 基于 共享 密 钥 的 认证 


如 果 通 信 双 方 有 一 个 共享 的 密 钥 ， 则 可 以 确认 对 方 的 真实 身份 。 这 种 算法 依赖 于 一 个 双方 
都 信赖 的 密 钥 分 发 中 心 (Key Distribution Center，KDC)， 如 图 8-5 所 示 ， 其 中 的 A 和 B 分 别 
代表 发 送 者 和 接收 者 ，K。、Ks 分 别 表示 A、B 与 KDC 之 间 的 共享 密 钥 。 
1 


AK(B.K) 


图 8-5 基于 共享 密 钥 的 认证 协议 
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认证 过 程 如 下 : A 向 KDC 发 出 消息 {A, Ka(B, Ks)}， 说 明 自 己 要 和 B 通信 ， 并 指定 了 与 B 
会 话 的 密 钥 Ks。 注意 ， 这 个 消息 中 的 一 部 分 (B, Ks) 是 用 K4 加 密 了 的 ， 所 以 第 三 者 不 能 了 解 
消息 的 内 容 。KDC 知道 了 A 的 意图 后 就 构造 了 一 个 消息 {gp(4, Ks)} 发 给 B。B 用 Ks 解密 后 就 
得 到 了 A 和 Ks， 然 后 就 可 以 与 A 用 Ks 会 话 了 。 

然而 ， 主 动 攻 击 者 对 这 种 认证 方式 可 能 进行 重 放 攻击 。 例 如 A 代表 雇主 ，B 代表 银行 。 第 
三 者 C 为 A 工作 ， 通 过 银行 转账 取得 报酬 。 如 果 C 为 A 工作 了 一 次 ， 得 到 了 一 次 报酬 ， 并 偷 
听 和 复制 了 A 和 B 之 间 就 转账 问题 交换 的 报 文 ， 那 么 贪 禁 的 C 就 可 以 按照 原来 的 次 序 向 银行 
重 发 报 文 2， 冒 充 A 与 B 之 间 的 会 话 ， 以 便 得 到 第 二 次 、 第 三 次 …… 报 酬 。 在 重 放 攻 击 中 攻击 
者 不 需要 知道 会 话 密 钥 Ks, 只 要 能 猜测 密 文 的 内 容 对 自己 有 利 或 是 无 利 就 可 以 达到 攻击 的 目的 。 
8.3.2 ”Needham-Schroeder 认证 协议 


这 是 一 种 多 次 提问 一 响应 协议 ， 可 以 对 付 重 放 攻 击 ， 关 键 是 每 一 个 会 话 回合 都 有 一 个 新 的 
随机 数 在 起 作用 ， 其 应 答 过 程 如 图 8-6 所 示 。 首 先是 A 向 KDC 发 送 报 文 1， 表 明 要 与 B 通信 。 
KDC 以 报 文 2 回答 。 报 文 1 中 加 入 了 由 A 指定 的 随机 数 Re，KDC 的 回答 报 文中 也 有 Ra， 它 
的 这 个 作用 是 保证 报 文 2 是 新 鲜 的 ， 而 不 是 重 放 的 。 报 文 2 中 的 Ka(A, Ks) 是 KDC 交 给 A 的 入 
场 券 ， 其 中 有 KDC 指定 的 会 话 键 Ks， 并 且 用 B 和 KDC 之 间 的 密 钥 加 密 ，A 无 法 打开 ， 只 能 
原样 发 给 B。 在 发 给 B 的 报 文 3 中 ，A 又 指定 了 新 的 随机 数 Raz， 但 是 B 发 出 的 报 文 4 中 不 能 
返回 Ks(Raz)， 而 必须 返回 Ks(Ras-1)， 因 为 KsGRAz) 可 能 被 攻击 者 偷 听 了 。 这 时 ，A 可 以 肯定 通 
信 对 方 确实 是 B。 要 让 B 确信 对 方 是 A， 还 要 进行 一 次 提问 。 报 文 4 中 有 了 指定 的 随机 数 Ra， 
A 返回 Re-1， 证 明 这 是 对 前 一 报 文 的 应 答 。 至 此 ， 通 信 双 方 都 可 以 确认 对 方 的 身份 ， 可 以 用 
Ks 进行 会 话 了 。 这 个 协议 似乎 是 天 衣 无 缝 ， 但 也 不 是 不 可 以 攻击 的 。 


1 
-一 RAB | 

KDC 
KRVBKS KAKS) 3 


| KWCA.KvKAR 


KR -TD,R。 


K.(R,-—1) 


图 8-6 Needham-Schroeder 认证 协议 
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8.3.3 ”基于 公 钥 的 认证 


这 种 认证 协议 如 图 8-7 所 示 。 人 A 给 B 发 出 Es(A,Ra), 该 报 文 用 B 的 公 钥 加 密 。.B 返回 Es(R。， 
Ra, Ks)， 用 A 的 公 钥 加 密 。 这 两 个 报 文中 分 别 有 A 和 B 指定 的 随机 数 Re 和 Ra， 因此 能 排除 
重 放 的 可 能 性 。 通 信 双 方 都 用 对 方 的 公 钥 加 密 ， 用 各 自 的 私 钥 解 密 ， 所 以 应 答 比 较 简单 。 其 中 
的 Ks 是 B 指定 的 会 话 键 。 这 个 协议 的 缺陷 是 假定 了 双方 都 知道 对 方 的 公 钥 。 但 如 果 这 个 条 件 
不 成 立 呢 ? 如 果 有 一 方 的 公 钥 是 假 的 呢 ? 


图 8-7 基于 公 钥 的 认证 协议 


8.4 数字 签名 


与 人 们 手写 签名 的 作用 一 样 ， 数 字 签 名 系统 向 通信 双方 提供 服务 ， 使 得 A 向 B 发 送 签名 
的 消息 P， 以 便 达到 以 下 几 点 。 

(1) B 可 以 验证 消息 P 确实 来 源 于 A。 

(2) A 以 后 不 能 和 否认 发 送 过 了 。 

(3) B 不 能 编造 或 改变 消息 P。 

下 面 介 绍 两 种 数字 签名 系统 。 


8.4.1 基于 密 钥 的 数字 签名 


这 种 系统 如 图 8-8 所 示 。 设 BB 是 A 和 了 BB 共同 信赖 的 仲裁 人 。Ka。 和 Ks 分 别 是 A 和 B 与 
BB 之 间 的 密 钥 ， 而 Kss 是 只 有 BB 掌握 的 密 钥 , P 是 A 发 给 B 的 消息 ，t 是 时 间 准 。BB 解读 
了 A 的 报 文 {A, Ka(B, Ra, t, P)} 以 后 产生 了 一 个 签名 的 消息 Kas(A, t, P)， 并 装配 成 发 给 B 的 报 
文 {Kp(A, Ra 了 P, Kap(A,tP 了 ))}。B 可 以 解密 该 报 文 ， 阅 读 消息 P， 并 保留 证 据 Kas(A, +, P)。 由 
于 A 和 B 之 间 的 通信 和 是 通过 中 间 人 BB 的 , 所 以 不 必 怀疑 对 方 的 身份 。 又 由 于 证 据 Kaa(A, t,P) 
的 存在 ，A 不 能 否认 发 送 过 消息 P，B 也 不 能 改变 得 到 的 消息 P， 因 为 BB 仲裁 时 可 能 会 当场 解 
密 Ksa(A, t, P)， 得 到 发 送 人 、 发 送 时 间 和 原来 的 消息 P 了 。 
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A,K,(B,R,, 1, P) 上 一 一 | 


BB 


KsRy |- 站 Ke(A, Ra, bP, Ke(AbP) 上 | 


图 8-8 ”基于 密 钥 的 数字 签名 
8.4.2 ”基于 公 钥 的 数字 签名 


利用 公 钥 加 密 算 法 的 数字 签名 系统 如 图 8-9 所 示 。 如 果 A 方 否 认 了 ，B 可 以 拿 出 Da(P)， 
并 用 A 的 公 钥 EA 解密 得 到 P， 从 而 证 明 P 是 A 发送 的 。 如 果 B 把 消息 了 P 算 改 了 ， 当 A 要 求 B 
出 示 原 来 的 Da(P) 时 ，B 拿 不 出 来 。 


发 送 方 接收 方 
A 的 私 钥 B 的 公 钥 B 的 私 钥 A 的 公 钥 
De Ea 这 


Da(P) Ep(DA(P)) Da(P) 
图 8-9 基于 公 钥 的 数字 签名 


8.5 报 文摘 要 


用 于 差错 控制 的 报 文 检验 是 根据 元 余 位 检查 报 文 是 否 受到 信道 干扰 的 影响 , 与 之 类 似 的 报 
文摘 要 方案 是 计算 密码 校 验 和 ， 即 固定 长 度 的 认证 码 ， 附 加 在 消息 后 面 发 送 ， 根 据 认 证 码 检查 
报 文 是 否 被 算 改 。 设 M 是 可 变 长 的 报 文 ，K 是 发 送 者 和 接收 者 共享 的 密 钥 ， 令 MD=Cx(M)， 
这 就 是 算出 的 报 文摘 要 (Message Digest)， 如 图 8-10 所 示 。 由 于 报 文摘 要 是 原 报 文 唯一 的 压缩 
表示 ， 代 表 了 原来 报 文 的 特征 ， 所 以 也 叫 作 数字 指纹 (Digital Fingerprint)。 

散 列 (Hash) 算法 将 任意 长 度 的 二 进 制 串 映射 为 固定 长 度 的 二 进 制 串 ， 这 个 长 度 较 小 的 二 
进 制 串 称 为 散 列 值 。 散 列 值 是 一 段 数据 唯一 的 、 紧 凑 的 表示 形式 。 如 果 对 一 段 明 文 只 更 改 其 中 
的 一 个 字母 ， 随 后 的 散 列 变换 都 将 产生 不 同 的 散 列 值 。 因 为 要 找到 散 列 值 相同 的 两 个 不 同 的 输 
入 在 计算 上 是 不 可 能 的 ， 所 以 数据 的 散 列 值 可 以 检验 数据 的 完整 性 。 
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M, Cx (M) 


图 8-10 报 文摘 要 方案 


通常 的 实现 方案 是 对 任意 长 的 明文 M 进行 单 向 散 列 变换 , 计算 固定 长 度 的 位 串 作 为 报 文摘 
要 。 对 Hash 函数 h-HCOM) 的 要 求 如 下 。 

(1) 可 用 于 任意 大 小 的 数据 块 。 

(2) 能 产生 固定 大 小 的 输出 。 

(3) 软 / 硬 件 容易 实现 。 

(4) 对 于 任意 m， 找 出 x， 满 足 H(x)=m， 是 不 可 计算 的 。 

(5) 对 于 任意 x， 找 出 y 友 ， 使 得 H(x)=H(y)， 是 不 可 计算 的 。 

(6) 找 出 (x, y)， 使 得 H(x)=H(y)， 是 不 可 计算 的 。 

前 3 项 要 求 显而易见 是 实际 应 用 和 实现 的 需要 。 第 4 项 要 求 就 是 所 谓 的 单 向 性 ， 这 个 条 件 
使 得 攻击 者 不 能 由 偷 听 到 的 m 得 到 原来 的 x。 第 5 项 要 求 是 为 了 防止 伪造 攻击 ， 使 得 攻击 者 不 
能 用 自己 制造 的 假 消息 y 冒充 原来 的 消息 x。 第 6 项 要 求 是 为 了 对 付 生 日 攻击 的 。 

报 文摘 要 可 以 用 于 加 速 数字 签名 算法 ， 在 图 8-8 中 ，BB 发 给 B 的 报 文中 报 文 了 实际 上 出 
现 了 两 次 ， 一 次 是 明文 ， 一 次 是 密 文 ， 这 显然 增加 了 传送 的 数据 量 。 如 果 改 成 图 8-11 所 示 的 报 
文 ，Kpa(A,4P) 减 少 为 MD(P)， 则 传送 过 程 可 以 大 大 加 快 。 


A, Ka(B, Ra, t,P) [= 


BB B 


Ks (A, Ra, t, P, Ka(A, t, MD (P))) 


图 8-11 报 文摘 要 的 例子 


8.5.1 报 文摘 要 算法 


使 用 最 广 的 报 文摘 要 算法 是 MD5， 这 是 Ronald 工 . Rivest 设计 的 一 系列 Hash 函数 中 的 第 5 
个 。 其 基本 思想 就 是 用 足够 复杂 的 方法 把 报 文 位 充分 “ 弄 乱 ”， 使 得 每 一 个 输出 位 都 受到 每 一 
个 输入 位 的 影响 。 具 体 的 操作 分 成 下 列 几 个 步骤 。 
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(1) 分 组 和 填充 。 把 明文 报 文 按 512 位 分 组 ， 最 后 要 填充 一 定 长 度 的 " 1000.... " ， 使 得 


报 文 长 度 =448 (mod 512) 


(2) 附加 。 最 后 加 上 64 位 的 报 文 长 度 字段 ， 整 个 明文 恰好 为 512 的 整数 倍 。 
(3) 初始 化 。 置 4 个 32 位 长 的 缓冲 区 ABCD 分 别 为 : 


A=01234567 


B=89ABCDEF C=FEDCBA98 


D=76543210 


(4) 处 理 。 用 4 个 不 同 的 基本 逻辑 函数 (F，G，H,， I) 进行 4 轮 处 理 ， 每 一 轮 以 ABCD 
和 当前 512 位 的 块 为 输入 ， 处 理 后 送 入 ABCD (128 位 )， 产 生 128 位 的 报 文摘 要 ， 如 图 8-12 


所 示 。 


MDs 
二 128 


Al el ct pt 


ABCD" ABCD, ¥,, 7(1..16) 


Al Bi cf pf 


ABCD" fe(ABCD, ¥, T(17..32)) 


Al Bf ci pt 


ABCD'" jh(ABCD, Yo, T(33..48)) 


Al BI cl pf 


ABCD" f(ABCD, 由 ,TU49..64)) 
CT ] 


| 


图 8-12 MD5 的 处 理 过 程 


Ni 


关于 MD5 的 安全 性 可 以 解释 如 下 : 由 于 算法 的 单 向 性 , 因此 要 找 出 具有 相同 Hush 值 的 两 
个 不 同 报 文 是 不 可 计算 的 。 如 果 采 用 野蛮 攻击 ， 寻 找 具 有 给 定 Hush 值 的 报 文 的 计算 复杂 性 为 
23， 若 每 秒 试验 10 亿 个 报 文 ， 需 要 1.07X 10” 年 。 采用 生日 攻击 法 ,寻找 有 相同 Hush 值 的 两 
个 报 文 的 计算 复杂 性 为 2*， 用 同样 的 计算 机 需要 585 年 。 从 实用 性 考虑 ，MD5 用 32 位 软件 可 


高 速 实现 ， 所 以 有 广泛 应 用 。 


8.5.2 ”安全 散 列 算法 


安全 散 列 算法 (Secure Hash Algorithm，SHA) 由 美国 国家 标准 和 技术 协会 于 1993 年 提出 ， 


并 被 定义 为 安全 散 列 标准 (Secure Hash Standard，SHS)。SHA-1 是 1994 年 修订 的 版 本 ， 纠 正 
了 SHA 一 个 未 公布 的 缺陷 。 这 种 算法 接收 的 输入 报 文 小 于 2 位 ， 产 生 160 位 的 报 文摘 要 。 该 
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算法 设计 的 目标 是 使 得 找 出 一 个 能 够 匹配 给 定 的 散 列 值 的 文本 实际 是 不 可 能 计算 的 。 也 就 是 
说 ， 如 果 对 文档 A 已 经 计算 出 了 散 列 值 H(A)， 那 么 很 难 找到 一 个 文档 B， 使 其 散 列 值 
H(B) 二 H(A), 尤其 困难 的 是 无 法 找到 满足 上 述 条 件 的 , 而 且 又 是 指定 内 容 的 文档 B。SHA 算法 
的 缺点 是 速度 比 MD5 慢 ， 但 是 SHA 的 报 文摘 更 长 ， 更 有 利于 对 抗 野蛮 攻击 。 


8.5.3 散 列 式 报 文 认 证 码 


散 列 式 报 文 认证 码 (Hashed Message Authentication Code, HMAC) 是 利用 对 称 密 钥 生成 报 
文 认证 码 的 散 列 算法 ， 可 以 提供 数据 完整 性 数据 源 身 份 认证 。 为 了 说 明 HMAC 的 原理 ,假设 五 
是 一 种 散 列 函数 (例如 MD5 或 SHA-1), 互 把 任意 长 度 的 文本 作为 输入 ,产生 长 度 为 工 位 的 输 
出 (对 于 MD5, L=128; 对 于 SHA-1，L=160)， 并 且 假 设 玉 是 由 发 送 方 和 接收 方 共享 的 报 文 认 
证 密 钥 ， 长 度 不 大 于 64 字 节 ， 如 果 小 于 64 字 节 ， 后 面 加 0， 补 够 64 字 节 。 假 定 有 下 面 两 个 
64 字 节 的 串 ipad (输入 串 ) 和 opad (输出 串 ) 。 

ipad=0X36， 重 复 64 次 ; 

opad=0X5C， 重 复 64 次 。 

函数 HMAC 把 玉 和 Text 作为 输入 ， 产 生 

HMACk(Text)=H(K ® opad, H(K eipad, Texb) 
作为 输出 ， 即 

(1) 在 KK 后 附加 0， 生 成 64 字 节 的 串 。 

(2) 将 第 (1) 步 产生 的 串 与 ipad 按 位 异 或 。 

(3) 把 Text 附加 在 第 (2) 步 产生 的 结果 后 面 。 

(4) 对 第 (3) 步 产生 的 结果 应 用 函数 HH。 

(5) 将 第 〈1) 步 产生 的 串 与 opad 按 位 异 或 。 

(6) 把 第 〈4) 步 产生 的 结果 附加 在 第 〈5) 步 结 果 的 后 面 。 

(7) 对 第 〈6) 步 产生 的 结果 引用 函数 再， 并 输出 计算 结果 。 

HMAC 的 密 钥 长 度 至 少 为 工 位 ， 更 长 的 密 钥 并 不 能 增强 函数 的 安全 性 。HMAC 允许 把 最 
后 的 输出 截 短 到 80 位 ， 这 样 更 简单 有 效 ， 且 不 损失 安全 强度 。 认 证 一 个 数据 流 〈Text) 的 总 费 
用 接近 于 对 该 数据 流 进 行 散 列 的 费用 ， 对 很 长 的 数据 流 更 是 如 此 。 

HMAC 使 用 现 有 的 散 列 函数 卫 而 不 用 修改 互 的 代码 ， 这 样 可 以 使 用 已 有 的 五 代码 库 ， 而 
且 可 以 随时 用 一 个 散 列 函数 代替 另 一 个 散 列 函数 。HMAC-MD5 已 经 被 IETF 指定 为 Intemet 安 
全 协议 IPSec 的 验证 机 制 ， 提 供 数据 源 认 证 和 数据 完整 性 保护 。 

HMAC 的 一 个 典型 应 用 是 用 在 “提问 /响应 〈Challenge/Response) ” 式 身 份 认 证 中 ， 认 证 
流程 如 下 。 
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(1) 先 由 客户 端 向 服务 器 发 出 一 个 认证 请 求 。 

(2) 服务 器 接 到 此 请 求 后 生成 一 个 随机 数 并 通过 网 络 传输 给 客户 端 〈 此 为 提问 )。 

(3) 客户 端 将 收 到 的 随机 数 提供 给 ePass (数字 证 书 的 存储 介质 ) ， 由 ePass 使 用 该 随机 数 
与 存储 的 密 钥 进行 HMAC-MD5 运算 ， 并 得 到 一 个 结果 作为 证 据 传 给 服务 器 〈 此 为 响应 )。 

(4) 与 此 同时 ， 服 务 器 也 使 用 该 随机 数 与 存储 在 服务 器 数据 库 中 的 该 客户 密 钥 进行 
HMAC-MDS5 运算 ， 如 果 服 务 器 的 运算 结果 与 客户 端 传 回 的 响应 结果 相同 ， 则 认为 客户 端 是 一 
个 合法 用 户 。 


8.6 ”数字 证 书 


8.6.1 数字 证 书 的 概念 


数字 证 书 是 各 类 终端 实体 和 最 终 用 户 在 网 上 进行 信息 交流 及 商务 活动 的 身份 证 明 , 在 电子 
交易 的 各 个 环节 ， 交 易 的 各 方 都 需 验证 对 方 数字 证 书 的 有 效 性 ， 从 而 解决 相互 间 的 信任 问题 。 

数字 证 书 采 用 公 钥 体制 ， 即 利用 一 对 互相 匹配 的 密 钥 进行 加 密 和 解密 。 每 个 用 户 自 己 设 定 
一 个 特定 的 仅 为 本 人 所 知 的 私有 密 钥 〈 私 钥 )， 用 它 进行 解密 和 签名 ， 同 时 设 定 一 个 公共 密 钥 
( 公 钥 )， 并 由 本 人 公开 ， 为 一 组 用 户 所 共享 ， 用 于 加 密 和 验证 。 公 开 密 钥 技术 解决 了 密 钥 发 布 
的 管理 问题 。 一 般 情况 下 ,证书 中 还 包括 密 钥 的 有 效 时 间 、 发 证 机 构 〔 证 书 授权 中 心 ) 的 名 称 
及 该 证 书 的 序列 号 等 信息 。 数 字 证 书 的 格式 遵循 ITUTX.509 国际 标准 。 

用 户 的 数字 证 书 由 某 个 可 信 的 证 书 发 放 机 构 (Certification Authority，CA) 建立 ， 并 由 CA 
或 用 户 将 其 放 入 公共 目录 中 ， 以 供 其 他 用 户 访问 。 目 录 服 务 器 本 身 并 不 负责 为 用 户 创建 数字 证 
书 ， 其 作用 仅仅 是 为 用 户 访 问 数字 证 书 提供 方便 。 

在 X.509 标准 中 ， 数 字 证 书 的 一 般 格式 包含 的 数据 域 如 下 。 

(1) 版 本 号 : 用 于 区 分 X.509 的 不 同 版 本 。 

(2) 序列 号 : 由 同一 发 行者 (CA) 发 放 的 每 个 证 书 的 序列 号 是 唯一 的 。 

(3) 签名 算法 : 签署 证 书 所 用 的 算法 及 参数 。 

(4) 发 行者 : 指 建立 和 签署 证 书 的 CA 的 X.509 名 字 。 

(5) 有 效 期 : 包括 证 书 有 效 期 的 起 始 时 间 和 终止 时 间 。 

(6) 主体 名 : 指证 书 持 有 者 的 名 称 及 有 关 信息 。 

(7) 公 钥 : 有 效 的 公 钥 以 及 其 使 用 方法 。 

(8) 发 行者 卫 : 任 选 的 名 字 唯 一 地 标识 证 书 的 发 行者 。 

(9) 主体 卫 : 任 选 的 名 字 唯 一 地 标识 证 书 的 持 有 者 。 
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(10) 扩展 域 : 添加 的 扩充 信息 。 
(11) 认证 机 构 的 签名 : 用 CA 私 钥 对 证 书 的 签名 。 


8.6.2 证书 的 获取 


CA 为 用 户 产生 的 证 书 应 具有 以 下 特性 。 

(1) 只 要 得 到 CA 的 公 钥 ， 就 能 由 此 得 到 CA 为 用 户 签署 的 公 钥 。 

(2) 除 CA 外 ， 其 他 任何 人 员 都 不 能 以 不 被 察觉 的 方式 修改 证 书 的 内 容 。 

因为 证 书 是 不 可 伪造 的 ， 因 此 无 须 对 存放 证 书 的 目录 施加 特别 的 保护 。 

如 果 所 有 用 户 都 由 同一 CA 签署 证 书 ， 则 这 一 CA 必须 取得 所 有 用 户 的 信任 。 用 户 证 书 除 
了 能 放 在 公共 目录 中 供 他 人 访问 外 ， 还 可 以 由 用 户 直 接 把 证 书 转发 给 其 他 用 户 。 用 户 B 得 到 A 
的 证 书后 , 可 相信 用 A 的 公 钥 加 密 的 消息 不 会 被 他 人 获悉 , 还 可 信任 用 A 的 私 钥 签 署 的 消息 不 
是 伪造 的 。 

如 果 用 户 数量 很 多 ， 仅 一 个 CA 负责 为 所 有 用 户 签署 证 书 可 能 不 现实 。 通 常 应 有 多 个 CA， 
每 个 CA 为 一 部 分 用 户 发 行 和 签署 证 书 。 

设 用 户 A 已 从 证 书 发 放 机 构 X, 处 获取 了 证 书 ， 用 户 B 已 从 X, 处 获取 了 证 书 。 如果 A 不 
知 X 的 公 钥 ， 他 虽然 能 读 取 B 的 证 书 , 但 却 无 法 验证 用 户 B 证 书 中 X 的 签名 ， 因 此 B 的 证 书 
对 A 来 说 是 没有 用 处 的 。 然 而 ， 如 果 两 个 证 书 发 放 机 构 Xi 和 X 彼此 间 已 经 安全 地 交换 了 公开 
密 钥 ， 则 A 可 通过 以 下 过 程 获取 B 的 公开 密 钥 。 

(1) A 从 目录 中 获取 由 Xi 签署 的 X 的 证 书 Xi 《Xz》， 因 为 A 知道 Xi 的 公开 密 钥 ， 所 以 
能 验证 X 的 证 书 ， 并 从 中 得 到 X, 的 公开 密 钥 。 

(2) A 再 从 目录 中 获取 由 X 签署 的 B 的 证 书 X《B》， 并 由 X 的 公开 密 钥 对 此 加 以 验证 ， 
然后 从 中 得 到 B 的 公开 密 钥 。 

在 以 上 过 程 中 ，A 是 通过 一 个 证 书 链 来 获取 B 的 公开 密 钥 的 ， 证 书 链 可 表示 为 

XI (Xs) X, 《BY 
类 似 地 ，B 能 通过 相反 的 证 书 链 获取 A 的 公开 密 钥 ， 表 示 为 
X, (Xi) Xi (A 》 
以 上 证 书 链 中 只 涉及 两 个 证 书 。 同 样 ， 及 个 证 书 的 证 书 链 可 表示 为 
X (Xs) Xs (Xs) ££Xy (BY 

此 时 ， 任 意 两 个 相 邻 的 CAX 和 CAXi+i 已 彼此 间 为 对 方 建立 了 证 书 ， 对 每 一 个 CA 来 说 ， 
由 其 他 CA 为 这 一 CA 建立 的 所 有 证 书 都 应 存放 于 目录 中 ， 并 使 得 用 户 知道 所 有 证 书 相 互 之 间 
的 连接 关系 ， 从 而 可 获取 另 一 用 户 的 公 钥 证 书 。X.509 建议 将 所 有 的 CA 以 层次 结构 组 织 起 来 ， 
用 户 A 可 从 目录 中 得 到 相应 的 证 书 以 建立 到 B 的 以 下 证 书 链 。 

X 《W)》 W 《V)》 V ¢《U》U 《YY (2Z»》 Z 《BY 


第 8 章 网 络 安全 “S32 了 


并 通过 该 证 书 链 获取 B 的 公开 密 钥 。 
类 似 地 ，B 可 建立 以 下 证 书 链 以 获取 A 的 公开 密 钥 。 
X 《W)》 W 《V)》 V 《UY U 《Y)》 Y §2) Z 《A 


8.6.3 证 书 的 吊销 


从 证 书 的 格式 上 可 以 看 到 ， 每 个 证 书 都 有 一 个 有 效 期 ， 然 而 有 些 证 书 还 未 到 截止 日 期 就 会 
被 发 放 该 证 书 的 CA 吊销 ， 这 可 能 是 由 于 用 户 的 私 钥 已 被 泄漏 ， 或 者 该 用 户 不 再 由 该 CA 来 认 
证 ， 或 者 CA 为 该 用 户 签署 证 书 的 私 钥 己 经 泄漏 。 为 此 ， 每 个 CA 还 必须 维护 一 个 证 书 吊销 列 
表 (Certificate Revocation List，CRL)， 其 中 存放 所 有 未 到 期 而 被 提前 吊销 的 证 书 ， 包 括 该 CA 
发 放 给 用 户 和 发 放 给 其 他 CA 的 证 书 。CRL 还 必须 由 该 CA 签字 ， 然 后 存放 于 目录 中 以 供 他 人 
查询 。 

CRL 中 的 数据 域 包括 发 行者 CA 的 名 称 、 建 立 CRL 的 日 期 、 计 划 公 布下 一 CRL 的 日 期 以 
及 每 个 被 吊销 的 证 书 数据 域 。 被 吊销 的 证 书 数据 域 包括 该 证 书 的 序列 号 和 被 吊销 的 日 期 。 对 一 
个 CA 来 说 ， 它 发 放 的 每 个 证 书 的 序列 号 是 唯一 的 ， 所 以 可 用 序列 号 来 识别 每 个 证 书 。 

因此 ， 每 个 用 户 收 到 他 人 消息 中 的 证 书 时 都 必须 通过 目录 检查 这 一 证 书 是 否 已 经 被 吊销 ， 
为 避免 搜索 目录 引起 的 延迟 以 及 因此 而 增加 的 费用 ， 用 户 自 己 也 可 维护 一 个 有 效 证 书 和 被 吊销 
证 书 的 局 部 缓存 区 。 


8.7” 密 钥 管 理 


密 钥 是 加 密 算法 中 的 可 变 部 分 ， 在 采用 加 密 技术 保护 的 信息 系统 中 ， 其 安全 性 取决 于 密 钥 
的 保护 ， 而 不 是 对 算法 或 硬件 的 保护 。 密 码 体制 可 以 公开 ， 密 码 设备 可 能 丢失 ， 但 同一 型 号 的 
密码 机 仍 可 继续 使 用 。 然 而 ， 密 钥 一 旦 丢失 或 出 错 ， 不 仅 合法 用 户 不 能 提取 信息 ， 而 且 可 能 使 
非法 用 户 窃取 信息 。 因 此 ， 密 钥 的 管理 是 关键 问题 。 

密 钥 管理 是 指 处 理 密 钥 自 产 生 到 最 终 销 毁 的 整个 过 程 中 的 有 关 问题 ， 包 括 系统 的 初始 化 ， 
密 钥 的 产生 、 存 储 、 备 份 /恢复 、 装 入 、 分 配 、 保 护 、 更 新 、 控 制 、 丢 失 、 吊 销 和 销毁 。 


8.7.1 密 钥 管理 概述 


1. 对 密 钥 的 威胁 


对 密 钥 的 威胁 如 下 。 

(1) 私 钥 的 泄露 。 

(2) 私 钥 或 公 钥 的 真实 性 〈Authenticity) 丧失 。 

(3) 私 钥 或 公 钥 未 经 授权 使 用 ， 例 如 使 用 失效 的 密 钥 或 违例 使 用 密 钥 。 
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2. 密 钥 的 种 类 


下 面 介绍 密 钥 的 种 类 。 

(1) 基本 密 钥 局 ， 由 用 户 选 定 或 由 系统 分 配给 用 户 的 、 可 在 较 长 时 间 ( 相 对 于 会 话 密 钥 ) 
内 由 一 对 用 户 所 专用 的 密 钥 ， 故 也 称 用 户 密 钥 。 基 本 密 钥 要 求 既 安 全 又 便于 更 换 ， 与 会 话 密 钥 
一 起 去 启动 和 控制 某 种 算法 所 构造 的 密 钥 产生 器 ， 生 成 用 于 加 密 数 据 的 密 钥 流 。 

(2) 会 话 密 钥 太 : 两 个 终端 用 户 在 交换 数据 时 使 用 的 密 钥 。 当 用 会 话 密 钥 对 传输 的 数据 进 
行 保护 时 称 为 数据 加 密 密 钥 ， 用 会 话 密 钥 来 保护 文件 时 称 为 文件 密 钥 。 会 话 密 钥 的 作用 是 使 用 
户 不 必 频 繁 地 更 换 基 本 密 铀 ， 有 利于 密 钥 的 安全 和 管理 。 会 话 密 钥 可 由 用 户 双方 预先 约定 ， 也 
可 由 系统 通过 密 钥 建 立 协议 动态 地 生成 并 分 发 给 通信 双方 。 天 使 用 的 时 间 短 ， 限 制 了 密码 分 析 
者 所 能 得 到 的 同一 密 钥 加 密 的 密 文 数量 。 会 话 密 钥 只 在 需要 时 通过 协议 建立 ， 也 降低 了 密 钥 的 
存储 容量 。 

(3) 密 钥 加 密 密 钥 大 用 于 对 传送 的 会 话 密 钥 或 文件 密 钥 进行 加 密 的 密 钥 ， 也 称 辅助 二 级 
密 钥 或 密 钥 传 送 密 钥 。 通信 网 中 每 个 节点 都 分 配 有 一 个 , 为 了 安全 , 各 节点 的 大 应 互 不 相同 。 

(4) 主机 密 钥 厨 : 对 密 钥 加 密 密 钥 进行 加 密 的 密 钥 ， 存 于 主机 处 理 器 中 。 

在 双 钥 体制 下 ， 有 公开 钥 〈 公 钥 ) 和 秘密 钥 〈 私 钥 )、 签 字 密 钥 和 认证 密 钥 之 分 。 


8.7.2 ” 密 钥 管理 体制 


密 钥 管理 是 信息 安全 的 核心 技术 之 一 。 在 美国 信息 保障 技术 框架 (Information Assurance 
Technical Framework，IAIF) 中 定义 的 密 钥 管理 体制 主要 有 3 种 : 一 是 适用 于 封闭 网 的 技术 ， 
以 传统 的 密 钥 分 发 中 心 为 代表 的 KMI 机 制 ， 二 是 适用 于 开放 网 的 PKI 机 制 ， 三 是 适用 于 规模 
化 专用 网 的 SPK 技术 。 

1. KMI 技术 


密 钥 管理 基础 结构 (Key Management Infrastructure, KMI) 假定 有 一 个 密 钥 分 发 中 心 (KDC) 
来 负责 发 放 密 钥 。 这 种 结构 经 历 了 从 静态 分 发 到 动态 分 发 的 发 展 历程 ， 目 前 仍然 是 密 钥 管理 的 
主要 手段 。 无 论 是 静态 分 发 还 是 动态 分 发 ， 都 是 基于 秘密 的 物理 通道 进行 的 。 

1) 静态 分 发 

静态 分 发 是 预 配置 技术 ， 大 致 有 以 下 几 种 。 

(1) 点 对 点 配置 。 可 用 单 钥 实 现 ， 也 可 用 双 钥 实现 。 单 钥 分 发 是 最 简单 而 有 效 的 密 钥 管理 
技术 ， 通 过 秘密 的 物理 通道 实现 。 单 钥 为 认证 提供 可 靠 的 参数 ， 但 不 能 提供 不 可 否认 性 服务 。 
当 有 数字 签名 要 求 时 ， 则 用 双 钥 实现 。 

(2) 一 对 多 配置 。 可 用 单 钥 或 双 钥 实现 ， 是 点 对 点 分 发 的 扩展 ， 只 是 在 中 心 保 留 所 有 各 端 
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的 密 钥 ， 而 各 端 只 保留 自己 的 密 钥 。 一 对 多 的 密 钥 分 配 在 银行 清算 、 军 事 指挥 、 数 据 库 系 统 中 
仍 为 主流 技术 ， 也 是 建立 秘密 通道 的 主要 方法 。 

(3) 格 状 网 配置 。 可 以 用 单 钥 实 现 ， 也 可 以 用 双 钥 实现 。 格 状 网 的 密 钥 配 置 量 为 全 网 个 
终端 用 户 中 选 2 的 组 和 数 。Kerberos 曾 安 排 过 25 万 个 用 户 的 密 钥 。 格 状 网 一 般 都 要 求 提供 数字 
签名 服务 ， 因 此 多 数 用 双 钥 实现 ， 即 各 端 保留 自己 的 私 铀 和 所 有 终端 的 公 铀 。 如 果 用 户 量 为 25 
万 个 ， 则 每 一 个 终端 用 户 要 保留 25 万 个 公 钥 。 

2) 动态 分 发 

动态 分 发 是 “请 求 一 分 发 ”机 制 ， 是 与 物理 分 发 相对 应 的 电子 分 发 ， 在 秘密 通道 的 基础 上 
进行 ， 一 般 用 于 建立 实时 通信 中 的 会 话 密 铀 ， 在 一 定 意义 上 缓解 了 密 钥 管理 规模 化 的 矛盾 。 动 
态 分 发 有 以 下 儿 种 形式 。 

(1) 基于 单 钥 的 单 钥 分 发 。 在 用 单 密 钥 实 现时 , 首先 在 静态 分 发 方式 下 建立 星 状 密 钥 配 置 ， 
在 此 基础 上 解决 会 话 密 钥 的 分 发 。 这 种 密 钥 分 发 方式 简单 易 行 。 

(2) 基于 单 钥 的 双 钥 分 发 。 在 双 钥 体制 下 ， 可 以 将 公 、 私 钥 都 当 作 秘 密 变量 ,也 可 以 将 公 、 
私 钥 分 开 ， 只 把 私 钥 当 作 秘 密 变 量 ， 公 钥 当 作 公 开 变量 。 尽 管 将 公 钥 当 作 公 开 变 量 ， 但 仍然 存 
在 被 假冒 或 算 改 的 可 能 ， 因 此 需要 有 一 种 公 钥 传 递 协议 证 明 其 真实 性 。 基 于 单 钥 的 公 钥 分 发 的 
前 提 是 密 钥 分 发 中 心 (C) 和 各 终端 用 户 (A、B) 之 间 已 存在 单 钥 的 星 状 配置 ， 分 发 过 程 如 下 。 

。 ”A 一 C: 申请 B 的 公 钥 ， 包括 A 的 时 间 鹤 。 

。 CA: 将 B 的 公 钥 用 单 密 钥 加 密 发 送 ， 包 括 A 的 时 间 锥 。 

。 A 一 B: 用 B 的 公 钥 加 密 A 的 身份 标识 和 会 话 序号 Ni。 

B 一 C: 申请 A 的 公 钥 ， 包括 B 的 时 间 准 。 

C 一 B: 将 A 的 公 钥 用 单 密 钥 加 密 发 送 ， 包 括 B 的 时 间 鹤 。 

B 一 A: 用 A 的 公 钥 加 密 A 的 会 话 序号 Ni 和 B 的 会 话 序 号 N2。 
A 一 B: 用 B 的 公 钥 加 密 N,， 以 确认 会 话 建立 。 


2. PKI 技术 


在 密 钥 管理 中 , 不 依赖 秘密 信道 的 密 钥 分 发 技术 一 直 是 一 个 难题 .1976 年 , Deffie 和 Hellman 
提出 了 双 钥 密码 体制 和 D-H 密 钥 交换 协议 ， 大 大 促进 了 这 一 领域 的 发 展 。 但 是 ， 在 双 钥 体制 中 
只 是 有 了 公 、 私 钥 的 概念 ， 私 钥 的 分 发 仍然 依赖 于 秘密 通道 。1991 年 ，PGP 首先 提出 了 Web of 
Trust 信任 模型 和 密 钥 由 个 人 产生 的 思路 ， 避 开 了 私 钥 的 传递 ， 从 而 避 开 了 秘密 通道 ， 推 动 了 
PKI 技术 的 发 展 。 

公 钥 基础 结构 (Public Key Infrastructure，PKI) 是 运用 公 钥 的 概念 和 技术 来 提供 安全 服务 
的 、 普 遍 适 用 的 网 络 安全 基础 设施 ， 包 括 由 PKI 策略 、 软 /硬件 系统 、 认 证 中 心 、 注 册 机 构 
(Registration Authority，RA)、 证 书签 发 系统 和 PKI 应 用 等 构成 的 安全 体系 ， 如 图 8-13 所 示 。 
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认证 中 心 注册 机 构 证 书签 发 系统 


PKI 策 略 钦 /硬件 系统 


图 8-13 PKI 的 组 成 


PKI 策略 定义 了 信息 安全 的 指导 方针 和 密码 系统 的 使 用 规则 ， 具 体内 容 包括 CA 之 间 的 信 
任 关系 、 遵 循 的 技术 标准 、 安 全 策略 、 服 务 对 象 、 管 理 框架 、 认 证 规则 、 运 作 制 度 、 所 涉及 的 
法 律 关系 等 ， 软 /硬件 系统 是 PKI 运行 的 平台 ， 包 括 认证 服务 器 、 目 录 服 务 器 等 ，CA 负责 密 钥 
的 生成 和 分 配 ， 注 册 机 构 是 用 户 (subscriber) 与 CA 之 间 的 接口 ， 负 责 对 用 户 的 认证 ; 证 书签 
发 系统 负责 公 钥 数字 证 书 的 分 发 ， 可 以 由 用 户 自 己 或 通过 目录 服务 器 进行 发 放 ; PKI 的 应 用 非 
常 广 泛 ，Web 通信 、 电 子 邮 件 、 电 子 数据 交换 、 电 子 商 务 、 网 上 信用 卡 交易 、 虚 拟 专用 网 等 都 
是 PKI 潜在 的 应 用 领域 。 

自 20 世纪 90 年 代 以 来 ，PKI 技术 逐渐 得 到 了 各 国政 府 和 许多 企业 的 重视 ， 由 理论 研究 进 
入 商业 应 用 阶段 。IETF 和 ISO 等 国际 组 织 陆续 颁布 了 X.509、PKIX、PKCS、S/MIME、SSL、 
SET、JIPSec、LDAP 等 一 系列 与 PKI 应 用 有 关 的 标准 ; RSA、VeriSign、Entrust、Baltimore 等 
网 络 安全 公司 纷纷 推出 了 PKI 产品 和 服务 ; 网 络 设备 制造 商 和 软件 公司 开始 在 网 络 产品 中 增加 
PKI 功能 ;美国 、 加 拿 大、 韩国 、 日 本 和 欧盟 等 国家 相继 建立 了 PKI 体系 ; 银行、 证 券 、 保 险 
和 电信 等 行业 的 用 户 开始 接受 和 使 用 PKI 技术 。 

PKI 解决 了 不 依赖 秘密 信道 进行 密 钥 管理 的 重大 课题 ， 但 这 只 是 概念 的 转变 ， 并 没有 多 少 
新 技术 。PKI 是 在 民间 密码 研究 摆脱 政府 控制 的 斗争 中 发 展 起 来 的 ， 这 种 斗争 一 度 达到 了 白 热 
化 程度 ，PGP 的 发 明 者 Philip Zimmermann 曾经 因为 违反 美国 的 密码 产品 贸易 管制 政策 而 被 联 
邦 政府 调查 。PKI 以 商业 运作 的 形式 壮大 起 来 ， 以 国际 标准 的 形式 确定 ，PKI 技术 完全 开放 ， 
甚至 连 一 向 持 反 对 态度 的 美国 国防 部 (DoD)、 联 邦 政府 也 不 得 不 开发 PKI 策略 。DoD 定义 的 
KMIPKI 标准 规定 了 用 于 管理 公 钥 证 书 和 对 称 密 钥 的 技术 、 服 务 和 过 程 ，KMI 是 提供 信息 保障 
能 力 的 基础 架构 ，PKI 是 KMI 的 主要 组 成 部 分 ， 提 供 了 生成 、 生 产 、 分 发 、 控 制 和 跟踪 公 钥 证 
书 的 服务 框架 。 

KMI 和 PKI 两 种 密 钥 管 理 体制 各 有 其 优 缺 点 和 适用 范围 。KMI 具有 很 好 的 封闭 性 ,而 PKI 
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具有 很 好 的 扩展 性 。KMI 的 密 钥 管理 机 制 可 形成 各 种 封闭 环境 ， 可 作为 网 络 隔离 的 基本 逻辑 手 
段 ， 而 PKI 适用 于 各 种 开放 业务 ， 但 却 不 适应 封闭 的 专用 业务 和 保密 性 业务 。KMI 是 集中 式 的 
基于 主管 方 的 管理 模式 ， 为 身份 认证 提供 直接 信任 和 一 级 推理 信任 ， 但 密 钥 更 换 不 灵活 ; PKI 
是 依靠 第 三 方 的 管理 模式 ， 只 能 提供 一 级 以 下 推理 信任 ， 但 密 钥 更 换 非常 灵活 。KMI 适用 于 保 
密 网 和 专用 网 ， PKI 适用 于 安全 责任 完全 由 个 人 或 单方 面 承 担 ， 安 全 风险 不 涉及 他 方 利益 的 
场合 。 

从 实际 应 用 方面 看 ， 因 特 网 中 的 专用 网 主要 处 理 内 部 事务 ， 同 时 要 求 与 外 界 联系 。 因 此 ， 
KMI 主 内 、PKI 主 外 的 密 钥 管理 结构 是 比较 合理 的 。 如 果 一 个 专用 网 是 与 外 部 没有 联系 的 封闭 
网 ,那么 仅 有 KMI 就 已 足够 。 如 果 一 个 专用 网 可 以 与 外 部 联系 ,那么 要 同时 具备 两 种 密 钥 管理 
体制 ， 至 少 KMI 要 支持 PKI。 如 果 是 开放 网 业务 ， 则 完全 可 以 用 PKI 技术 处 理 。 


8.8 虚拟 专用 网 


8.8.1 虚拟 专用 网 的 工作 原理 


所 谓 虚 拟 专用 网 (Virtual Private Network，VPN)， 就 是 建立 在 公用 网 上 的 、 由 某 一 组 织 或 
某 一 群 用 户 专用 的 通信 网 络 ， 其 虚拟 性 表现 在 任意 一 对 VPN 用 户 之 间 没 有 专用 的 物理 连接 ， 
而 是 通过 ISP 提供 的 公用 网 络 来 实现 通信 ， 其 专用 性 表现 在 VPN 之 外 的 用 户 无 法 访问 VPN 内 
部 的 网 络 资源 , VPN 内 部 用 户 之 间 可 以 实现 安全 通信 。 这 里 讲 的 VPN 是 指 在 Intemet 上 建立 的 、 
由 用 户 《 组 织 或 个 人 ) 自行 管理 的 VPN， 而 不 涉及 一 般 电信 网 中 的 VPN。 后 者 一 般 是 指 X.25、 
帧 中 继 或 ATM 虚拟 专用 线路 。 

Intemet 本 质 上 是 一 个 开放 的 网 络 ， 没 有 任何 安全 措施 可 言 。 随 着 Intemet 应 用 的 扩展 ， 很 
多 要 求 安全 和 保密 的 业务 需要 通过 Internet 实现 ， 这 一 需求 促进 了 VPN 技术 的 发 展 。 各 个 国际 
组 织 和 企业 都 在 研究 和 开发 VPN 的 理论 、 技 术 、 协 议 、 系 统 和 服务 。 在 实际 应 用 中 要 根据 具体 
情况 选用 适当 的 VPN 技术 。 

实现 VPN 的 关键 技术 主要 有 以 下 几 种 。 

(1) 隧道 技术 (Tunneling)。 隧 道 技 术 是 一 种 通过 使 用 因特网 基础 设施 在 网 络 之 间 传 递 数 
据 的 方式 。 隧 道 协议 将 其 他 协议 的 数据 包 重 新 封装 在 新 的 包头 中 发 送 。 新 的 包头 提供 了 路 由 信 
息 ， 从 而 使 封装 的 负载 数据 能 够 通过 因特网 传递 。 在 Internet 上 建立 隧道 可 以 在 不 同 的 协议 层 实 
现 ， 例 如 数据 链 路 层 、 网 络 层 或 传输 层 ， 这 是 VPN 特有 的 技术 。 

(2) 加 解密 技术 (Encryption & Decryption)。VPN 可 以 利用 已 有 的 加 解密 技术 实现 保密 通 
言 ， 保 证 公司 业务 和 个 人 通信 的 安全 。 

(3) 密 钥 管理 技术 (Key Management)。 建 立 隧道 和 保密 通信 都 需要 密 钥 管 理 技术 的 支撑 ， 
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密 钥 管理 负责 密 钥 的 生成 、 分 发 、 控 制 和 跟踪 ， 以 及 验证 密 钥 的 真实 性 等 。 

(4) 身份 认证 技术 (Authentication)。 加 入 VPN 的 用 户 都 要 通过 身份 认证 ， 通 常 使 用 用 户 
名 和 密码 ， 或 者 智能 卡 来 实现 用 户 的 身份 认证 。 

VPN 的 解决 方案 有 以 下 3 种 ， 可 以 根据 具体 情况 选择 使 用 。 

(1) 内 联网 VPN (Intranet VPN)。 企 业内 部 虚拟 专用 网 也 叫 内 联网 VPN， 用 于 实现 企业 内 
部 各 个 LAN 之 间 的 安全 互联 。 传统 的 LAN 互联 采用 租用 专线 的 方式 , 这 种 实现 方式 费用 昂贵 ， 
只 有 大 型 企业 才能 负担 得 起 。 如 果 企 业内 部 各 分 支 机 构 之 间 要 实现 互联 ， 可 以 在 Intemet 上 组 
建 世界 范围 内 的 Intranet VPN， 利 用 Internet 的 通信 线路 保证 网 络 的 互联 互通 ， 利 用 隧道 、 加 密 
和 认证 等 技术 保证 信息 在 Intranet 内 安全 传输 ， 如 图 8-14 所 示 。 


分 支 机构 分 支 机构 


图 8-14 Intranet VPN 


(2) 外 联网 VPN (Extranet VPN)。 企 业 外 部 虚拟 专用 网 也 叫 外 联网 VPN， 用 于 实现 企业 
与 客户 、 供 应 商 和 其 他 相关 团体 之 间 的 互联 互通 。 当 然 ， 客 户 也 可 以 通过 Web 访问 企业 的 客户 
资源 , 但 是 外 联网 VPN 方式 可 以 方便 地 提供 接 入 控制 和 身份 认证 机 制 , 动态 地 提供 公司 业务 和 
数据 的 访问 权限 。 一 般 来 说 ， 如 果 公 司 提 供 B2B 之 间 的 安全 访问 服务 ， 则 可 以 考虑 与 相关 企业 
建立 Extranet VPN 连接 ， 如 图 8-15 所 示 。 

(3) 远程 接 入 VPN (Access VPN)。 解 决 远程 用 户 访问 企业 内 部 网 络 的 传统 方法 是 采用 长 
途 拨号 方式 接 入 企业 的 网 络 访 问 服务 器 (NAS)。 这 种 访问 方式 的 缺点 是 通信 成 本 高 ， 必 须 支 
付 价 格 不 菲 的 长 途 电话 费 ， 而 且 NAS 和 调制 解 调 器 的 设备 费用 以 及 租用 接 入 线路 的 费用 也 是 
一 笔 很 大 的 开销 。 采 用 远程 接 入 VPN 就 可 以 省 去 这 些 费 用 。 如 果 企业 内 部 人 员 有 移动 或 远程 办 
公 的 需要 ， 或 者 商家 要 提供 B2C 的 安全 访问 服务 ， 可 以 采用 Access VPN。 

Access VPN 通过 一 个 拥有 与 专用 网 络 相同 策略 的 共享 基础 设施 提供 对 企业 内 部 网 或 外 部 
网 的 远程 访问 。Access VPN 能 使 用 户 随时 随地 以 其 所 需 的 方式 访问 企业 内 部 的 网 络 资源 ， 最 适 
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用 于 公司 内 部 经 常 有 流动 人 员 远程 办 公 的 情况 .出差 员工 利用 当地 ISP 提供 的 VPN 服务 就 可 以 
和 公司 的 VPN 网 关 建 立 私 有 的 隧道 连接 ， 如 图 8-16 所 示 。 


公司 总 部 


图 8-16 Access VPN 


8.8.2 ”第 一 层 隧道 协议 


虚拟 专用 网 可 以 通过 第 二 层 隧 道 协议 实现 ， 这 些 隧道 协议 〈 例 如 PPTP 和 L2TP) 都 是 把 数 
据 封 装 在 点 对 点 协议 (PPP) 的 帧 中 在 因特网 上 传输 的 ， 创 建 隧 道 的 过 程 类 似 于 在 通信 双方 之 
间 建 立会 话 的 过 程 ， 需 要 就 地 址 分 配 ， 经 加 密 、 认 证 和 压缩 参数 等 进行 协商 ， 隧 道 建立 后 才能 
进行 数据 传输 。 下 面 介 绍 PPP 协议 和 常用 的 第 二 层 隧道 协议 。 

1. PPP 协议 


PPP 协议 (Point-to-Point Protocol) 可 以 在 点 对 点 链 路 上 传输 多 种 上 层 协议 的 数据 包 。PPP 
是 数据 链 路 层 协 议 ， 最 早 是 替代 SLIP 协议 用 来 在 同步 链 路 上 封装 四 数据 报 的 ， 后 来 也 可 以 承 
载 诸如 DECnet、Novell IPX、Apple Talk 等 协议 的 分 组 。PPP 是 一 组 协议 ， 包 含 下 列 成 分 。 

(1) 封装 协议 。 用 于 包装 各 种 上 层 协 议 的 数据 报 。PPP 封装 协议 提供 了 在 同一 链 路 上 传输 
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各 种 网 络 层 协议 的 多 路 复 用 功能 ， 也 能 与 各 种 常见 的 支持 硬件 保持 兼容 。 封 装 协议 的 格式 如 图 
8-17 所 示 。 


地 址 (FF) | 控制 (03) CRC 帧 标志 (7E) 


协议 | 数据 (< 1500 字 节 ) 


| 帧 标志 (7E) 


1 1 1 2 2 1 
帧 标志 : 与 HDLC 相同 ， 以 字符 01111110 表示 帧 的 开始 和 结束 ; 
地 址 字段 : 内 容 为 广播 地 址 11111111 ; 
控制 字段 : 其 值 为 00000011 ; 
协议 字段 : 表示 数据 字段 封装 的 网 络 层 协议 ，0x0021 代表 卫 数据 报 ，0xC021 代表 LCP 数据 ，0x8021 代表 NCP 
数据 ; 
数据 字段 : 包含 封装 的 数据 包 ， 长 度 为 0~1 500 字 节 ; 
CRC 字段 : 16 位 循环 元 余 校 验 码 ， 检 测 传输 中 出 现 的 差错 ， 也 可 以 选择 32 位 CRC 校 验 。 
图 8-17 PPP 的 帧 
(2) 链 路 控制 协议 〈Link Control Protocol，LCP) 。 通 过 以 下 三 类 LCP 分 组 来 建立 、 配 置 
和 管理 数据 链 路 连接 。 
。 链 路 配置 分 组 。 用 于 建立 和 配置 链 路 ， 包 括 Configure-Request、Configure-Ack、 
Configure-Nak 和 Configure-Reject 这 4 种 分 组 。 
。 ” 链 路 终结 分 组 。 用 于 终止 链 路 ， 包 括 Terminate-Request 和 Terminate-Ack 两 种 分 组 。 
。 ” 链 路 维护 分 组 ,用 于 链 路 管理 和 排 错 , 包括 Code-Reject、 Protocol-Reject、Echo-Request、 
Echo-Reply 和 Discard-Request 这 5 种 分 组 。 
(3) 网 络 控制 协议 。 在 PPP 的 链 路 建立 过 程 中 的 最 后 阶段 将 选择 承载 的 网 络 层 协议 ， 例 如 
卫 、IPX 或 AppleTalk 等 .PPP 只 传送 选 定 的 网 络 层 分 组 , 任何 没有 入 选 的 网 络 层 分 组 将 被 丢弃 。 
PPP 拨号 过 程 可 以 分 成 以 下 3 个 阶段 (如 图 8-18 所 示 )。 


UP > OPENED ye 

死记 | 让 vV | 认证 
FAIL FAIL 

DOWN CLOSING | SUCCESS/NONE 

科目 网 络 一 一 一 一 一 一 


图 8-18 PPP 的 会 话 过 程 


(1) 链 路 建立 。PPP 通过 链 路 控制 协议 建立 、 维 护 或 终止 逻辑 连接 。 在 这 个 阶段 ， 将 对 通 
信和 方式 (数据 压缩 、 加 密 以 及 认证 协议 的 参数 等 进行 协商 。 

(2) 用 户 认证 。 在 这 个 阶段 ， 客 户 端 将 自己 的 身份 证 明 发 送 给 网 络 接 入 服务 器 进行 身份 认 
证 。 如 果 认 证 失败 ， 连 接 被 终止 。 在 这 一 阶段 ， 只 传送 链 路 控制 协议 、 认 证 协议 和 链 路 质量 监 
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视 协 议 的 分 组 ， 其 他 分 组 均 被 丢弃 。 最 常用 的 认证 协议 有 PAP 和 CHAP 两 种 。 

. 令 认 证 协议 (Password Authentication Protocol，PAP)。 这 是 一 种 简单 的 明文 认证 方 
式 。 用 户 向 NAS 提供 用 户 名 和 口令 ， 如 果 认 证 成 功 ，NAS 向 用 户 返 回应 答 信息 。 这 
个 过 程 可 能 重复 多 次 才能 完成 。 显 然 ， 这 种 认证 方式 是 不 安全 的 。 
e ”挑战 一 握手 验证 协议 (Challenge Handshake Authentication Protocol，CHAP)。 这 是 一 
种 3 次 握手 认证 协议 ， 并 不 传送 用 户 密码 ， 而 是 传送 由 用 户 密 码 生 成 的 散 列 值 。 首 先 
由 NAS 向 远 端 用 户 发 送 一 个 挑战 口令 ,其 中 包括 会 话 ID 和 一 个 任意 的 挑战 字 串 (用 
于 防止 重 放 攻 击 )。 客 户 端 返回 经 过 MD5 加 密 的 会 话 也 、 挑 战 字符 串 和 用 户口 令 ， 
用 户 名 则 以 明文 方式 发 送 ， 如 图 8-19 所 示 。NAS 根据 认证 服务 器 中 的 数据 对 收集 到 
的 用 户 数据 进行 有 效 性 验证 ， 如 果 认 证 成 功 ， NAS 返回 肯定 应 答 ， 连 接 建 立 ， 如 果 
认证 失败 ， 连 接 终止 。 在 后 续 的 数据 传送 阶段 ， 还 可 能 随机 地 进行 多 次 认证 ， 以 减少 
被 攻击 的 时 间 。 虽 然 这 种 认证 只 是 由 服务 器 端 对 客户 端的 单 向 认证 ， 但 是 也 可 以 应 用 
在 双向 认证 中 。 


客户 端 认证 服务 器 
ee 


Challenge= 会 话 ID ， 挑 战 字符 串 
Response 二 MD5( 会 话 [D, 挑 战 字符 串 , 用 户 Password)， 用 户 名 


图 8-19 CHAP 认证 过 程 


(3) 调用 网 络 层 协 议 。 认 证 阶段 完成 之 后 ，PPP 将 调用 在 链 路 建立 阶段 选 定 的 网 络 控制 协 
议 。 例 如 ， 如 果 选 定 正 控制 协议 (了 PCP) ， 可 以 向 拨 入 用 户 分 配 动态 瑟 地 址 并 就 下 头 的 压缩 
进行 协商 。 这 样 ， 经 过 3 个 阶段 以 后 ， 一 条 完整 的 PPP 链 路 就 建立 起 来 了 。 

一 旦 完成 上 述 3 个 阶段 ，PPP 就 开始 在 连接 双方 之 间 转 发 数据 ， 每 个 被 传送 的 数据 报 都 被 
封装 在 PPP 包头 内 。 如 果 在 阶段 一 选择 了 数据 压缩 , 数据 将 会 在 被 传送 之 前 进行 压缩 。 类 似 的 ， 
如 果 已 经 选择 使 用 数据 加 密 ， 数 据 将 会 在 传送 之 前 进行 加 密 。 


2. 点 对 点 隧道 协议 (PPTP) 


PPTP (Point-to-Point Tunneling Protocol) 是 由 Microsoft、Ascend、3Com 和 ECI 等 公司 组 
成 的 PPTP 论坛 在 1996 年 定义 的 第 2 层 隧道 协议 。PPTP 定义 了 由 PAC 和 PNS 组 成 的 客户 端 / 
服务 器 结构 ， 从 而 把 NAS 的 功能 分 解 给 这 两 个 逻辑 设备 ， 以 支持 虚拟 专用 网 。 传 统 网 络 接 入 
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服务 器 (NAS) 根据 用 户 的 需要 提供 PSTN 或 ISDN 的 点 对 点 拨号 接 入 服务 ， 它 具有 下 列 功能 。 

(1) 通过 本 地 物理 接口 连接 PSTN 或 ISDN， 控 制 外 部 Modem 或 终端 适配器 的 拨号 操作 。 

(2) 作为 PPP 链 路 控制 协议 的 会 话 终端 。 

(3) 参与 PPP 认证 过 程 。 

(4) 对 多 个 PPP 信道 进行 集中 管理 。 

(5) 作为 PPP 网 络 控制 协议 的 会 话 终端 。 

(6) 在 各 接口 之 间 进 行 多 协议 的 路 由 和 桥接 。 

PPTP 论坛 定义 了 以 下 两 种 逻辑 设备 。 

。 ”PPTP 接 入 集中 器 (PPTP Access Concentrator，PAC)。 可 以 连接 一 条 或 多 条 PSTN 或 

ISDN 拨号 线路 ， 能 够 进行 PPP 操作 ， 并 且 能 处 理 PPTP 协议 。PAC 可 以 与 一 个 或 多 
个 PNS 实现 TCP/IP 通信 ， 或 者 通过 隧道 传送 其 他 协议 的 数据 。 

。 ”PPTP 网 络 服务 器 (PPTP Network Server，PNS)。 建 立 在 通用 服务 器 平台 上 的 PPTP 

服务 器 ， 运 行 TCP/IP 协议 ， 可 以 使 用 任何 LAN 和 WAN 接口 硬件 实现 。 

PAC 是 负责 接 入 的 客户 端 设备 ， 必 须 实现 NAS 的 (1)、(2) 两 项 功能 ， 也 可 能 实现 第 (3) 
项 功能 ，PNS 是 ISP 提供 的 接 入 服务 器 ， 可 以 实现 NAS 的 第 (3) 项 功能 ， 但 必须 实现 〈4)、 
(5)、(6) 项 功能 ， 而 PPTP 则 是 在 PAC 和 PNS 之 间 对 拨 入 的 电路 交换 呼叫 进行 控制 和 管理 ， 
并 传送 PPP 数据 的 协议 。 

PPTP 协议 只 是 在 PAC 和 PNS 之 间 实 现 ， 与 其 他 任何 设备 无 关 ， 连 接 到 PAC 的 拨号 网 络 
也 与 PPTP 无 关 ， 标 准 的 PPP 客户 端 软件 仍然 可 以 在 PPP 链 路 上 进行 操作 。 

在 一 对 PAC 和 PNS 之 间 必 须 建 立 两 条 并 行 的 PPTP 连接 ， 一 条 是 运行 在 TCP 协议 上 的 控 
制 连接 , 一 条 是 传输 PPP 协议 数据 单元 的 下 隧道 ,控制 连接 可 以 由 PNS 或 PAC 发 起 建立 , PNS 
和 PAC 在 建立 TCP 连接 之 后 就 通过 Start-Control-Connection-Request 和 Start-Control- 
Connection-Reply 报 文 来 建立 控制 连接 ,这 些 报 文 也 用 来 交换 有 关 PAC 和 PNS 操作 能 力 的 数据 。 
控制 连接 的 管理 、 维 护 和 释放 也 是 通过 交换 类 似 的 控制 报 文 实现 的 。 

控制 连接 必须 在 PPP 隧道 之 前 建立 。 在 每 一 对 PAC-PNS 之 间 ， 隧 道 连接 和 控制 连接 同时 
存在 。 控 制 连接 的 功能 是 建立 、 管 理 和 释放 PPP 隧道 ， 同 时 控制 连接 也 是 PAC 和 PNS 之 间 交 
换 呼叫 信息 的 通路 。 

PPP 分 组 必须 先 经 过 GRE 封装 后 才能 在 PAC-PNS 之 间 的 隧道 中 传送 。GRE (Generic 
Routing Encapsulation) 是 在 一 种 网 络 层 协议 上 封装 另外 一 种 网 络 层 协议 的 协议 。GRE 封装 的 协 
议 经 过 了 加 密 处 理 ， 所 以 VPN 之 外 的 设备 无 法 探测 其 中 的 内 容 。 对 PPP 分 组 封装 和 传送 的 过 
程 如 图 8-20 所 示 ,， 其 中 的 RRAS 相当 于 PAC 或 PNS,，PPP 桩 是 经 过 加 密 的 PPP 头 。 可 以 看 出 ， 
负载 数据 在 本 地 和 远程 LAN 中 都 是 通过 他 协议 明文 传送 的 ,只 有 在 VPN 中 进行 了 加 密 和 封装 。 
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VPN 3 
本 地 客户 本 = i 远程 客户 


| 了 | Internet | IP | 
lL 1 1 1 
帧 头 帧 头 帧 头 
IP 头 IP 头 IP 头 
负载 GRE 头 负载 
PPP 桩 
负载 (加 密 ) 


注 : RRAS 的 全 称 是 Routing and Remote Access Server 


图 8-20 ”GRE 封装 和 隧道 传送 


PPTP 协议 的 分 组 头 结构 如 图 8-21 所 示 。 


PPTP 报 文 类 型 
拉 制 扫 文 类 型 


固件 版 本 
制造 商 (64 字 节 ) 


长 度 : PPTP 报 文 的 字 节 数 。 

PPTP 报 文 类 型 : 1. 控制 信息 ; 2. 管理 信息 。 

Magic Cookie : Magic Cookie 以 连续 的 0x1A2B3C4D 发 送 ， 基 本 目的 是 确保 接收 端 与 TCP 数据 流 间 的 同步 运行 。 
控制 报 文 类 型 : 可 能 的 值 如 下 。 

。 Start-Control-Connection-Request; 

Start-Control-Connection-Reply ; 

Stop-Control-Connection-Request ; 

Stop-Control-Connection-Reply ; 

Echo-Request ; 

Echo-Reply 。 

协议 版 本 : PPTP 版 本 号 。 

组 帧 能 力 : 指出 帧 类 型 ， 由 发 送 方 提供 。1. 异步 帧 支持 ; 2. 同步 帧 支持 。 

承载 能 力 : 指出 承载 性 能 ， 由 发 送 方 提供 。1. 模拟 接 入 支持 ; 2. 数字 接 入 支持 。 

最 大 信道 数 : PAC 支持 的 PPP 会 话 总 数 。 

固件 版 本 : 车 由 PAC 发 出 ， 则 表示 PAC 的 固件 修订 本 编号 ; 车 由 PNS 发 出 ， 则 包括 PNS 的 PPTP 驱动 版 本 号 。 
主机 名 : PAC 或 PNS 的 域名 。 

制造 商 : 供应 商 的 字符 串 。 


图 8-21 PPTP 分 组 头 格式 
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3. 第 2 层 隧道 协议 


第 2 层 隧道 协议 (Layer 2 Tunneling Protocol, L2TP) 用 于 把 各 种 拨号 服务 集成 到 ISP 的 服 
务 提供 点 。PPP 定义 了 一 种 封装 机 制 ， 可 以 在 点 对 点 链 路 上 传输 多 种 协议 的 分 组 。 通 常 ， 用 户 
利用 各 种 拨号 方式 (例如 POTS、ISDN 或 ADSL) 接 入 NAS， 然 后 通过 第 二 层 连 接 运行 PPP 
协议 。 这 样 ， 第 二 层 连接 端点 和 PPP 会 话 端点 都 在 同一 个 NAS 设备 中 。 

L2TP 扩展 了 PPP 模型 ， 允 许 第 二 层 连接 端点 和 PPP 会 话 端 点 驻 在 由 分 组 交换 网 连接 的 不 
同 设备 中 。 在 L2TP 模型 中 ,用 户 通过 第 二 层 连 接 访问 集中 器 〈 例 如 Modem、ADSL 等 设备 ) ， 
而 集中 器 则 把 PPP 帧 通过 隧道 传送 给 NAS， 这 样 就 可 以 把 PPP 分 组 的 处 理 与 第 二 层 端点 的 功 
能 分 离开 来 。 这 样 做 的 好 处 是 NAS 不 再 具有 第 二 层 端点 的 功能 ， 第 二 层 连接 在 本 地 集中 器 终 
止 ， 从 而 把 迪 辑 的 PPP 会 话 扩展 到 了 帧 中 继 或 mntemet 这 样 的 公共 网 络 上 。 从 用 户 的 观点 看 ， 
使 用 L2TP 与 通过 第 二 层 接 入 NAS 并 没有 区 别 。 

L2TP 报 文 分 为 控制 报 文 和 数据 报 文 。 控 制 报 文 用 于 建立 、 维 护 和 释放 隧道 和 呼叫 ， 数 据 
报 文 用 于 封装 PPP 帧 ， 以 便 在 隧道 中 传送 。 控 制 报 文 使 用 了 可 靠 的 控制 信道 以 保证 提交 ， 数 据 
报 文 被 丢失 后 不 再 重 传 。L2TP 的 分 组 头 结构 如 图 8-22 所 示 。 
[TIrlxlx[ls[xlolplxlx [x| x [ve [|  t# 度 | 
: 指示 报 文 的 类 型 。0 表示 数据 报 文 ，1 表示 控制 报 文 。 

置 1 时 表示 长 度 字段 出 现 ， 控 制 报 文 必须 有 长 度 字段 。 
保留 不 用 ， 全 部 置 0。 

置 1 时 表示 Nr 和 Ns 字段 出 现 ， 对 于 控制 报 文 ，S 必须 置 1。 
置 1 时 表示 Offset size 字段 出 现 ， 对 于 控制 报 文 ，O 必须 置 0。 
P: 表示 优先 级 ， 如 果 置 1， 该 数据 报 文 被 优先 处 理 和 发 送 。 
Ver: 这 一 位 的 值 为 002， 指 示 L2TP 的 版 本 号 。 

长 度 : 报 文 的 总 长 度 。 

隧道 ID : 标识 不 同 的 隧道 。 

会 话 ID : 标识 不 同 的 用 户 会 话 。 

Nr: 接收 顺序 号 。 

Ns : 发 送 顺序 号 。 

Offset size & pad : 附加 位 用 于 确定 L2TP 分 组 头 的 边界 。 


图 8-22 L2TP 分 组 头 


在 全 网 上 使 用 UDP 和 一 系列 的 L2TP 消息 对 隧道 进行 维护 ， 同 时 使 用 UDP 将 L2TP 封装 
的 PPP 帧 通过 隧道 发 送 ， 可 以 对 封装 的 PPP 帧 中 的 负载 数据 进行 加 密 或 压缩 。 图 8-23 所 示 为 


-i 可 
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在 传输 之 前 组 装 一 个 L2TP 数据 包 。 


IP UDP IL2TP | PPP( 数 据 ) | 


传输 协议 封装 协议 承载 协议 
图 8-23 L2TP 数据 包 在 卫 网 中 的 封装 


4. PPTP 与 L2TP 的 比较 


PPTP 和 L2TP 都 使 用 PPP 协议 对 数据 进行 封装 ， 然 后 添加 附加 包头 用 于 数据 在 互联 网 络 
上 的 传输 。 尽 管 两 个 协议 非常 相似 ， 但 是 仍 存在 以 下 几 方 面 的 区 别 。 

(1) PPTP 要 求 因特网 络 为 人 P 网 络 ，L2TP 只 要 求 隧道 媒介 提供 面向 数据 包 的 点 对 点 连接 。 
L2TP 可 以 在 瑟 〈 使 用 UDP)、 帧 中 继 永 久 虚拟 电路 (PVCs))、X.25 虚 电 路 (VCs) 或 AIM 网 
络 上 使 用 。 

(2)PPTP 只 能 在 两 端点 间 建 立 单一 隧道 , L2TP 支持 在 两 端点 间 使 用 多 个 隧道 。 使 用 L2TP， 
用 户 可 以 针对 不 同 的 服务 质量 创建 不 同 的 隧道 。 

(3) L2TP 可 以 提供 包头 压缩 。 当 压缩 包头 时 ， 系 统 开销 占用 4 个 字 节 ， 而 在 PPTP 协议 下 
要 占用 6 个 字 节 。 

(4) L2TP 可 以 提供 隧道 验证 ， 而 PPTP 不 支持 隧道 验证 ,。 但 是 ， 当 L2TP 或 PPTP 与 PSec 
共同 使 用 时 ， 可 以 由 卫 Sec 提供 隧道 验证 ， 不 需要 在 第 2 层 协议 上 验证 隧道 。 


8.8.3 IPSec 


IPSec (IP Security) 是 IETF 定义 的 一 组 协议 ， 用 于 增强 人 P 网 络 的 安全 性 。IPSec 协议 集 
提供 了 下 面 的 安全 服务 。 
。 ”数据 完整 性 (Data Integrity)。 保 持 数据 的 一 致 性 ， 防 止 未 授权 地 生成 、 修 改 或 删除 


数据 。 

。 认证 〈Authentication)。 保 证 接收 的 数据 与 发 送 的 相同 ， 保 证 实际 发 送 者 就 是 声称 的 
发 送 者 。 

。 保密 性 〈Confidentiality)。 传 输 的 数据 是 经 过 加 密 的 ， 只 有 预定 的 接收 者 知道 发 送 的 
内 容 。 


。 ”应 用 透明 的 安全 性 (Application-transparent Security)。 IPSec 的 安全 头 插入 在 标准 的 卫 
头 和 上 层 协 议 (例如 TCP) 之 间 , 任何 网 络 服务 和 网 络 应 用 都 可 以 不 经 修改 地 从 标准 
四 转向 下 Sec， 同 时 ，IPSec 通信 也 可 以 透明 地 通过 现 有 的 人 * 路 由 器 。 
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IPSec 的 功能 可 以 划分 为 下 面 3 类 。 

。 认证 头 (Authentication Header，AH) : 用 于 数据 完整 性 认证 和 数据 源 认 证 。 

。 ”封装 安全 负荷 (Encapsulating Security Payload，ESP) : 提供 数据 保密 性 和 数据 完整 
性 认证 ，ESP 也 包括 了 防止 重 放 攻击 的 顺序 号 。 

。 ”Intermet 密 钥 交换 协议 (Internet Key Exchange，IKE) : 用 于 生成 和 分 发 在 ESP 和 AH 
中 使 用 的 密 铀 ， 下 E 也 对 远程 系统 进行 初始 认证 。 


1. 认证 头 


IPSec 认证 头 提供 了 数据 完整 性 和 数据 源 认 证 , 但 是 不 提供 保密 服务 。 AH 包含 了 对 称 密 钥 
的 散 列 函数 ， 使 得 第 三 方 无 法 修改 传输 中 的 数据 。IPSec 支持 下 面 的 认证 算法 。 

。 HMAC-SHA!l1 (Hashed Message Authentication Code-Secure Hash Algorithm 1): 128 位 

密 钥 。 

。 HMAC-MD5 (HMAC-Message Digest 5): 160 位 密 钥 。 

IPSec 有 两 种 模式 ， 传输 模式 和 隧道 模式 。 在 传输 模式 中 ，IPSec 认证 头 插入 原来 的 他 头 
之 后 (如 图 8-24 所 示 ), 了 P 数据 和 下头 用 来 计算 AH 认证 值 。 IP 头 中 的 变化 字段 (例如 跳 步 计 
数 和 TIL 字段 〉 在 计算 之 前 置 为 0， 所 以 变化 字段 实际 上 并 没有 被 认证 。 


AH 前 原来 的 IP 头 TCP 数据 


AH 后 的 IPv4 传 输 模式 原来 的 IP 头 AH | TCP 数据 | 


图 8-24 ”传输 模式 的 认证 头 


在 隧道 模式 中 ，IPSec 用 新 的 下 头 封装 了 原来 的 下 数据 报 〈 包 括 原来 的 瑟 头 )， 原 来 下 
数据 报 的 所 有 字段 都 经 过 了 认证 ， 如 图 8-25 所 示 。 


新 的 IP 头 AH 原来 的 IP 头 | TCP | 数据 


图 8-25 ”隧道 模式 的 认证 头 


2. 封装 安全 负荷 


IPSec 封装 安全 负荷 提供 了 数据 加 密 功 能 。 ESP 利用 对 称 密 钥 对 中 数据 (例如 TCP 包 ) 进 
行 加 密 ， 支 持 的 加 密 算法 如 下 。 
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(1) DES-CBC (Data Encryption Standard Cipher Block Chaining Mode): 56 位 密 钥 。 
(2) 3DES-CBC (三 重 DES CBC): 56 位 密 钥 。 

(3) AES128-CBC (Advanced Encryption Standard CBC): 128 位 密 钥 。 

在 传输 模式 ，IP 头 没有 加 密 ， 只 对 外 数据 进行 了 加 密 ， 如 图 8-26 所 示 。 


ESP 前 原来 的 IP 头 TCP 数据 


ESP 后 的 IPv4 传 输 模 式 原来 的 IP 头 ESP 头 | TCP 数据 ESP 尾 


图 8-26 ”传输 模式 的 ESP 


在 隧道 模式 ，IPSec 对 原来 的 卫 数据 报 进行 了 封装 和 加 密 ， 加 上 了 新 的 下头 ， 如 图 8-27 
所 示 。 如 果 ESP 用 在 网 关中 ， 外 层 的 未 加 密 下 头 包含 网 关 的 中 地 址 ,而 内 层 加 密 了 的 于 头 包 
含 真实 的 源 和 目标 地 址 ， 这 样 可 以 防止 偷 听 者 分 析 源 和 目标 之 间 的 通信 和 量 。 


新 的 IP 头 


espy | 原来 的 IP 头 | TCP | 数据 | spe 


图 8-27 ”隧道 模式 的 ESP 


3. 带 认证 的 封装 安全 负荷 


ESP 加 密 算法 本 身 没有 提供 认证 功能 ,不 能 保证 数据 的 完整 性 。 但 是 带 认 证 的 ESP 可 以 提 
供 数据 完整 性 服务 ， 有 以 下 两 种 方法 可 提供 认证 功能 。 

(1) 带 认证 的 ESP。IPSec 使 用 第 一 个 对 称 密 钥 对 负荷 进行 加 密 ， 然 后 使 用 第 二 个 对 称 密 
钥 对 经 过 加 密 的 数据 计算 认证 值 ， 并 将 其 附加 在 分 组 之 后 ， 如 图 8-28 所 示 。 


传输 模式 原来 的 IP 头 


隧道 模式 新 的 IP 头 ESP 头 | 原来 的 IP 头 | TCP 数据 | ESP 尾 | ESP 认 证 


加 密 
认证 
图 8-28 ” 带 认证 的 ESP 
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(2) 在 AH 中 嵌 套 ESP。ESP 分 组 可 以 嵌 套 在 AH 分 组 中 ， 例 如 一 个 3DES-CBC ESP 分 组 
可 以 身 套 在 HMAC-MD5 分 组 中 ， 如 图 8-29 所 示 。 


新 的 IP 头 ESP 头 原来 的 IP | TCP | 数据 | gsp ESP 认 证 


加 密 
认证 
图 8-29 在 AH 中 赃 套 ESP 


4， Internet 密 钥 交换 协议 


IPSec 传送 认证 或 加 密 的 数据 之 前 ， 必 须 就 协议 、 加 密 算法 和 使 用 的 密 钥 进行 协商 。 密 钥 
交换 协议 提供 这 个 功能 ， 并 且 在 密 钥 交 换 之 前 还 要 对 远程 系统 进行 初始 的 认证 。IKE 实际 上 是 
ISAKMP (Internet Security Association and Key Management Protocol) 、Oakley 和 SKEME 
(Versatile Secure Key Exchange Mechanism for Intermet Protocol) 这 3 个 协议 的 混合 体 。ISAKMP 
提供 了 认证 和 密 钥 交换 的 框架 ， 但 是 没有 给 出 具体 的 定义 ，Oakley 描述 了 密 钥 交 换 的 模式 ， 而 

在 密 钥 交换 之 前 要 先 建 立 安全 关联 (Security Association，SA) 。SA 是 由 一 系列 参数 〈 例 
如 加 密 算 法 、 密 钥 和 生命 期 等 ) 定义 的 安全 信道 。 在 ISAKMP 中 ， 通 过 两 个 协商 阶段 来 建立 
SA， 这 种 方法 被 称 为 Oakley 模式 。 建 立 SA 的 过 程 如 下 。 

1) ISAKMP 第 一 阶段 (Main Mode，MM) 

(1) 协商 和 建立 ISAKMP SA。 两 个 系统 根据 D-H 算法 生成 对 称 密 钥 ， 后 续 的 IKE 通信 都 
使 用 该 密 钥 加 密 。 

(2) 验证 远程 系统 的 标识 (初始 认证 )。 

2) ISAKMP 第 二 阶段 (Quick Mode，QMD) 

使 用 由 ISAKMP/MM SA 提供 的 安全 信道 协商 一 个 或 多 个 用 于 IPSec 通信 (AH 或 ESP) 的 
SA。 通常 在 第 二 阶段 至 少 要 建立 两 条 SA, 一 条 用 于 发 送 数据 , 一 条 用 于 接收 数据 , 如 图 8-30 所 示 。 


ISAKMP 阶 段 1 
IPSec IPSec 
ISAKMP 阶 段 2 
SA JP 通信 Sh 
IPSec/QM SA (IPSec AH/ESP) IPSec/QM SA 
节点 A 节点 B 


图 8-30 ”安全 关联 的 建立 
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8.8.4” 安 全套 接 层 


安全 套 接 层 (Secure Socket Layer，SSL) 是 Netscape 于 1994 年 开发 的 传输 层 安全 协议 ， 
用 于 实现 Web 安全 通信 。1996 年 发 布 的 SSL 3.0 协议 草案 已 经 成 为 一 个 事实 上 的 Web 安全 标 
准 。1999 年 , IETF 推出 了 传输 层 安 全 标准 (Transport Layer Security, TLS) [RFC2246], 对 SSL 
进行 了 改进 ， 希 望 成 为 正式 标准 。SSL/TLS 已 经 在 Netscape Navigator 和 Internet Explorer 中 得 
到 了 广泛 应 用 。 下 面 介 绍 SSL 3.0 的 主要 内 容 。 

SSL 的 基本 目标 是 实现 两 个 应 用 实体 之 间 安 全 可 靠 的 通信 。SSL 协议 分 为 两 层 ,底层 是 SSL 
记录 协议 ， 运 行 在 传输 层 协 议 TCP 之 上 ， 用 于 封装 各 种 上 层 协议 。 一 种 被 封装 的 上 层 协议 是 
SSL 握手 协议 , 由 服务 器 和 客户 端 用 来 进行 身份 认证 , 并 且 协 商 通 信 中 使 用 的 加 密 算法 和 密 钥 。 
SSL 协议 栈 如 图 8-31 所 示 。 


应 用 层 
SSL 握手 协议 ”| SSL 改变 密码 协议 SSL 警告 协议 HTTP 
SSL 记录 协议 
TCP 
P 


图 8-31 SSL 协议 栈 


SSL 对 应 用 层 是 独立 的 , 这 是 它 的 优点 , 高 层 协议 都 可 以 透明 地 运行 在 SSL 协议 之 上 。SSL 
提供 的 安全 连接 具有 以 下 特性 。 

(1) 连接 是 保密 的 。 用 握手 协议 定义 了 对 称 密 钥 (例如 DES、RC4 等 ) 之 后 ， 所 有 通信 都 
被 加 密 传送 。 

(2) 对 等 实体 可 以 利用 对 称 密 钥 算 法 (例如 RSA、DSS 等 ) 相互 认证 。 

(3) 连接 是 可 靠 的 。 报 文 传输 期 间 利用 安全 散 列 函数 (例如 SHA、MDS5 等 ) 进行 数据 的 

SSL 和 IPSec 各 有 特点 。SSL VPN 与 IPSec VPN 一 样 ， 都 使 用 RSA 或 D-H 握手 协议 来 建 
立 秘密 隧道 。SSL 和 IPSec 都 使 用 了 预 加 密 、 数 据 完整 性 和 身份 认证 技术 ， 例 如 3-DES、128 
位 的 RC4、ASE、MD5 和 SHA-1 等 。 两 种 协议 的 区 别 是 ，IPSec VPN 是 在 网 络 层 建立 安全 隧 
道 ， 适 用 于 建立 固定 的 虚拟 专用 网 ， 而 SSL 的 安全 连接 是 通过 应 用 层 的 Web 连接 建立 的 ， 更 
适合 移动 用 户 远 程 访 问 公司 的 虚拟 专用 网 ， 原 因 如 下 。 
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(1) SSL 不 必 下 载 到 访问 公司 资源 的 设备 上 。 

(2) SSL 不 需要 端 用 户 进行 复杂 的 配置 。 

(3) 只 要 有 标准 的 Web 浏览 器 ， 就 可 以 利用 SSL 进行 安全 通信 。 

SSL/TLS 在 Web 安全 通信 中 被 称 为 HTTPS。SSL/TLS 也 可 以 用 在 其 他 非 Web 的 应 用 ( 例 
如 SMIP、LDAP、POP、IMAP 和 TELNET) 中 。 在 虚拟 专用 网 中 ，SSL 可 以 承载 TCP 通信 ， 
也 可 以 承载 UDP 通信 。 由 于 SSL 工作 在 传输 层 ， 所 以 SSL VPN 的 控制 更 加 灵活 ， 既 可 以 对 传 
输 层 进行 访问 控制 ， 也 可 以 对 应 用 层 进行 访问 控制 。 


1. 会 话 和 连接 状态 


SSL 会 话 有 不 同 的 状态 。SSL 握手 协议 负责 调整 客户 端 和 服务 器 的 会 话 状态 ， 使 其 能 够 协 
调 一 致 地 进行 操作 。 一 个 SSL 会 话 可 能 包含 多 个 安全 连接 ， 两 个 对 等 实体 之 间 可 以 同时 建立 多 
个 SSL 会 话 。 

SSL 会 话 状态 由 下 列 成 分 决定 : 会 话 标识 符 、 对 方 的 X.509 证 书 、 数 据 压缩 方法 列表 、 密 
人 码 列表 、 计 算 MAC 的 主 密 钥 ， 以 及 用 于 说 明 是 否 可 以 启动 另外 一 个 会 话 的 恢复 标识 。 

SSL 连接 状态 由 下 列 成 分 决定 : 服务 器 和 客户 端的 随机 数 序 列 、 服 务 器 /客户 端的 认证 密 钥 、 
服务 器 /客户 端的 加 /解密 密 钥 、 用 于 CBC 加 密 的 初始 化 矢量 (IV) ， 以 及 发 送 /接收 报 文 的 顺序 
号 等 。 

2. 记录 协议 


SSL 记录 层 首先 把 上 层 的 数据 划分 成 2* 字 节 的 段 , 然后 进行 无 损 压缩 ( 任 选 )、 计算 MAC 
并 且 进 行 加 密 ， 最 后 才 发 送出 去 。 

3. 改变 密码 协议 (change cipher spec protocol) 

这 个 协议 用 于 改变 安全 策略 。 改 变 密码 报 文 由 客户 端 或 服务 器 发 送 ， 用 于 通知 对 方 后 续 的 
记录 将 采用 新 的 密码 列表 。 

4. 警告 协议 

SSL 记录 层 对 当前 传输 中 的 错误 可 以 发 出 警告 ， 使 得 当前 的 会 话 失效 ， 避 免 再 产生 新 的 会 
话 。 和 警告 报 文 是 经 过 压缩 和 加 密 传送 的 ， 警 告 分 为 关闭 连接 警告 和 错误 警告 (包括 非 预期 的 报 
文 、MAC 出 错 、 解 压缩 失败 、 握 手 协商 失败 、 没 有 合法 的 证 书 、 证 书 损坏 、 不 支持 的 证 书 、 
帅 销 的 证 书 、 过 期 的 证 书 、 未 知 的 证 书 和 无 效 参 数 等 错误 ) 两 种 类 型 。 
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5. 握手 协议 


会 话 状态 的 密码 参数 是 在 SSL 握手 阶段 产生 的 。 当 SSL 客户 端 和 服务 器 开始 通信 时 ， 它 
们 将 就 协议 版 本 、 加 密 算 法 和 认证 方案 以 及 产生 共享 密 钥 的 公 钥 加 密 技术 进行 协商 ， 这 个 过 程 
可 以 描述 如 下 《〈 如 图 8-32 所 示 )。 


客户 端 服务 器 
ClientHello 加 
ServerHello 
Certificate* 
CertificateRequest* 
ServerKeyExchange* 
一 


Certificate* 
ClientKeyExchange 
Certificate Verify* 
changeciphersper 


Finished a 
changeciphersper 
Finished 
Application Data Application Data 
表示 任 选项 


图 8-32 ”SSL 握手 协议 


(1) 客户 端 发 送 hello 报 文 ， 服 务 器 也 以 hello 报 文 回答 。 客 户 端 和 服务 器 在 这 两 个 报 文中 
对 协议 版 本 、 会 话 也 、 加 密 方案 和 压缩 方法 进行 协商 ， 另 外 还 产生 了 两 个 随机 数 (ClientHello. 
random 和 ServerHello.random ) 。 

(2) 服务 器 发 送 自己 的 数字 证 书 〈Certificate) 和 密 钥 交 换 报 文 (ServerKeyExchange)。 如 
果 要 对 客户 端 进行 身份 认证 ， 还 必须 请 求 客户 端 发 送 它 的 数字 证 书 (CertificateRequest)。 最 后 
服务 器 发 送 hello done 报 文 ， 表 示 结 束 这 个 会 话 阶段 。 

如 果 服 务 器 发 送 了 证 书 请 求 报 文 ， 客 户 端 要 以 自己 的 证 书 报 文 或 证 书 警 告 应 答 。 在 客户 端 
发 送 的 密 钥 交换 报 文 〈ClientKeyExchange) 中 ， 必 须根 据 hello 阶段 协商 的 结果 选择 公 钥 算法 。 
另外 ， 客 户 端 还 可 能 发 送 自己 证 书 的 签名 信息 〈CertificateVerify )。 

(3) 由 客户 端 发 送 改变 密码 〈change cipher spec) 报 文 ， 并 以 Finished 报 文 (包含 新 的 算 
法 、 密 码 列表 和 密 钥 ) 结束。 服务 器 的 响应 是 发 送 自 己 的 改变 密码 报 文 和 Finished (包含 新 的 
密码 列表 )， 这 样 握手 过 程 就 完成 了 。 
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6 密 钥 交 换算 法 


通信 中 使 用 的 加 密 和 认证 方案 是 由 密码 列表 (cipher_suite) 决定 的 ， 而 密码 列表 则 是 由 服 
务 器 通过 hello 报 文 进行 选择 的 。 

在 握手 协议 中 采用 非 对 称 算法 来 认证 对 方 和 生成 共享 密 钥 ， 有 RSA、Diffe-Hellman 和 
Fortezza 三 种 算法 可 以 选用 。 

在 使 用 RSA 进行 服务 器 认证 和 密 钥 交换 时 ， 由 客户 端 生成 48 字 节 的 前 主 密 钥 值 (pre_ 
master_seeret)， 用 服务 器 的 公 钥 加 密 后 发 送出 去 。 服 务 器 用 自己 的 私 钥 解 密 ,得 到 前 主 密 钥 值 ， 
然后 双方 都 把 前 主 密 钥 值 转换 成 主 密 钥 〈 用 于 认证 )， 并 删 去 原来 的 前 主 密 钥 值 。 

Diffie-Hellman 算法 如 图 8-33 所 示 ， 在 服务 器 的 数字 证 书 中 含有 参数 (p 和 g)， 协 商 的 秘 
密 值 大 作为 前 主 密 钥 值 ， 然 后 转换 成 主 密 钥 。 


有 两 个 通信 实体 Alice 和 Bob， P 是 一 个 很 大 的 素数 ，g 是 一 个 整数 〈 称 为 产生 基 )， 通 常 这 两 个 数 
Alice 和 Bob 都 知道 两 个 数 p 和 8g 在 网 络 上 是 公开 的 ， 由 所 有 用 户 共享 
Alce 的 秘密 值 -= 
Bob 的 秘密 值 = 
Alee 的 A 开 区 =x 
公 一 ob 
公 


Bob 计算 公开 值 y=g* modp Bob 的 公开 值 =y 
Alice 知道 了 p、g、a、x、y 
双方 交换 公开 值 
Bob 知道 了 p、g、b、x、y 
Ke modpy modp= (ey mod p= modp 
(er modp) mod p= (ey mod p=e* modp 


因为 g" =g”， 所 以 k=ko=k Alice 和 Bob 得 到 共享 秘密 值 k 


图 8-33 ”Diffe-Hellman 算法 


Fortezza 来 源 于 意大利 文 fortress， 是 “堡垒 ”或 “要 塞 ” 的 意思 。 这 是 美国 NSA 使 用 的 
一 种 安全 产品 ， 包 括 一 个 加 密 卡 和 护身符 软件 Talisman， 可 以 用 于 加 密 计 算 机 中 的 文件 。 当 前 
Fortezza 主要 用 于 加 密 电 子 邮 件 、 数字 蜂窝 电话 、Web 浏览 器 和 数据 库 等 Microsoft 的 Windows 
2000 浏览 器 和 IS 都 支持 Fortezza 加 密 。 

在 Fortezza 国防 报 文系 统 (Defense Message System，DMS) 中 ， 客 户 端 首先 使 用 服务 器 
证 书 中 的 公 钥 和 自己 令 牌 中 的 秘密 参数 计算 出 令 牌 加 密 密 钥 (Token Encryption Key，TEK)， 
然后 把 公开 参数 发 送 给 服务 器 ， 由 服务 器 根据 自己 的 私有 参数 生成 TEK。 最 后 客户 端 生 成 会 话 
密 钥 ， 并 用 TEK 包装 后 发 送 给 服务 器 。 
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8.9 应 用 层 安 全 协议 


8:.9.1 ‘SsHTTR 


安全 的 超 文本 传输 协议 (Secure HTTP，S-HTTP) 是 一 个 面向 报 文 的 安全 通信 协议 ， 是 
HTTP 协议 的 扩展 ， 其 设计 目的 是 保证 商业 贸易 信息 的 传输 安全 ， 促 进 电子 商务 的 发 展 。 

S-HTTP 可 以 与 HITP 消息 模型 共存 , 也 可 以 与 HITP 应 用 集成 。 S-HTTP 为 HTTP 客户 端 
和 服务 器 提供 了 各 种 安全 机 制 ， 适 用 于 潜在 的 各 类 Web 用 户 。 

S-HTTP 对 客户 端 和 服务 器 是 对 称 的 ， 对 于 双方 的 请 求 和 响应 做 同样 的 处 理 ， 但 是 保留 了 
HTTP 的 事务 处 理 模型 和 实现 特征 。 

S-HTTP 的 语法 与 HITP 一 样 ， 由 请 求 行 (Request Line) 和 状态 行 〈Status Line) 组 成 ， 
后 跟 报 文 头 和 报 文 体 (Message Body)， 然 而 报 文 头 有 所 区 别 ， 报 文体 经 过 了 加 密 。S-HTTP 客 
户 端 发 出 的 请 求 报 文 格式 如 图 8-34 所 示 。 


图 8-34 _ S-HTTP 报 文 格式 


为 了 与 HTTP 报 文 区 分 ，S-HTTP 报 文 使 用 了 协议 指示 器 Secure-HTTP/1.4， 这 样 S-HTTP 
报 文 可 以 与 HITP 报 文 混合 在 同一 个 TCP 端口 (80) 进行 传输 。 

由 于 SSL 的 迅速 出 现 ，S-HTTP 未 能 得 到 广泛 应 用 。 目 前 ，SSL 基本 取代 了 SHTTP。 大 多 
数 Web 交易 均 采用 传统 的 HITP 协议 ， 并 使 用 经 过 SSL 加 密 的 HTTP 报 文 来 传输 敏感 的 交易 
信息 。 


8.9.2 PGR 


PGP(Pretty Good Privacy ) 是 Philip R. Zimmermann 在 1991 年 开发 的 电子 邮件 加 密 软 件 包 。 
由 于 该 软件 违反 了 美国 的 密码 产品 出 口 限制 ， 作 者 被 联邦 政府 进行 了 3 年 的 犯罪 调查 。 今 天 ， 
PGP 已 经 成 为 使 用 最 广泛 的 电子 邮件 加 密 软 件 。PGP 能 够 得 到 广泛 应 用 的 原因 如 下 。 

(1) 能 够 在 各 种 平台 (如 DOS、Windows、UNIX 和 Macintosh 等 ) 上 免费 使 用 ， 并 且 得 
到 许多 制造 商 的 支持 。 

(2) 基于 比较 安全 的 加 密 算法 (RSA、IDEA、MD5 )。 

(3) 具有 广泛 的 应 用 领域 ， 既 可 用 于 加 密 文件 ， 也 可 用 于 个 人 安全 通信 。 

(4) 该 软件 包 不 是 由 政府 或 标准 化 组 织 开发 和 控制 的 ， 这 一 点 对 于 具有 自由 倾向 的 网 民 特 
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别 具 有 吸引 力 。 

了 PGP 提供 两 种 服务 : 数据 加 密 和 数字 签名 。 数 据 加 密 机 制 可 以 应 用 于 本 地 存储 的 文件 ， 也 
可 以 应 用 于 网 络 上 传输 的 电子 邮件 。 数 字 签 名 机 制 用 于 数据 源 身 份 认 证 和 报 文 完整 性 验证 .PGP 
使 用 RSA 公 钥 证 书 进行 身份 认证 , 使 用 IDEA (128 位 密 钥 ) 进行 数据 加 密 ， 使 用 MD5 进行 数 
据 完整 性 验证 。 

PGP 进行 身份 认证 的 过 程 叫 作 公 钥 指纹 (public-key fingerprint)。 所 谓 指 纹 ， 就 是 对 密 钥 
进行 MD5 变换 后 所 得 到 的 字符 串 。 假 如 Alice 能 够 识别 Bob 的 声音 ， 则 Alice 可 以 设法 得 到 
Bob 的 公 钥 ， 并 生成 公 钥 指 纹 ， 通 过 电话 验证 他 得 到 的 公 钥 指 纹 是 否 与 Bob 的 公 钥 指纹 一 致 ， 
以 证 明 Bob 公 钥 的 真实 性 。 

如 果 得 到 了 一 些 可 信任 的 公 钥 ， 就 可 以 使 用 PGP 的 数字 签名 机 制 得 到 更 多 的 真实 公 钥 。 
例如 ，Alice 得 到 了 Bob 的 公 钥 ， 并 且 信 任 Bob 可 以 提供 其 他 人 的 公 钥 ， 则 经 过 Bob 签名 的 公 
钥 就 是 真实 的 。 这 样 ， 在 相互 信任 的 用 户 之 间 就 形成 了 一 个 信任 圈 。 网 络 上 有 一 些 服务 器 提供 
公 钥 存储 器 ， 其 中 的 公 钥 经 过 了 一 个 或 多 个 人 的 签名 。 如 果 你 信任 某 个 人 的 签名 ， 那 么 就 可 以 
认为 他 /她 签名 的 公 钥 是 真实 的 。SLED (Stable Large E-mail DataBase) 就 是 这 样 的 服务 器 ， 在 
该 服务 器 目录 中 的 公 钥 都 是 经 过 SLED 签名 的 。 

PGP 证 书 与 X.509 证 书 的 格式 有 所 不 同 ， 其 中 包括 了 以 下 信息 。 

。 ”版 本 号 : 指出 创建 证 书 使 用 的 PGP 版 本 。 

。 ”证 书 持 有 者 的 公 钥 : 这 是 密 钥 对 的 公开 部 分 ， 并 且 指 明了 使 用 的 加 密 算法 RSA、DH 
或 DSA。 

证 书 持 有 者 的 信息 : 包括 证 书 持 有 者 的 身份 信息 ， 例 如 姓名 、 用 户 ID 和 照片 等 。 

证 书 持 有 者 的 数字 签名 : 也 叫 作 自 签名 ， 这 是 持 有 者 用 其 私 钥 生 成 的 签名 。 

证 书 的 有 效 期 : 证 书 的 起 始 日 期 /时 间 和 终止 日 期 /时 间 。 

对 称 加 密 算法 :指明 证 书 持 有 者 首选 的 数据 加 密 算法 ,PGP 支持 的 算法 有 CAST、IDEA 
和 3-DES 等 。 

PGP 证 书 格式 的 特点 是 单个 证 书 可 能 包含 多 个 签名 ， 也 许 有 一 个 或 许多 人 会 在 证 书 上 签 
确认 证 书 上 的 公 钥 属于 某 个 人 。 

有 些 PGP 证 书 由 一 个 公 钥 和 一 些 标签 组 成 ， 每 个 标签 包含 确认 公 钥 所 有 者 身份 的 不 同 手 
段 ， 例如 所 有 者 的 姓名 和 公司 邮件 账户 、 所 有 者 的 绰号 和 家 庭 邮件 账户 、 所 有 者 的 照片 等 ， 所 
有 这 些 全 都 在 一 个 证 书 里 。 

每 一 种 认证 手段 (每 一 个 标签 ) 的 签名 表 可 能 是 不 同 的 ， 但 是 并 非 所 有 的 标签 都 是 可 信任 
的 。 这 是 指 客观 意义 上 的 可 信 性 一 一 签名 只 是 署名 者 对 证 书 内 容 真实 性 的 评价 ， 在 签名 证 实 一 
个 密 钥 之 前 ， 不 同 的 署名 者 在 认定 密 钥 真实 性 方面 所 做 的 努力 并 不 相同 。 

有 一 系列 的 软件 工具 可 以 用 于 部 署 PGP 系统 ， 在 网 络 中 部 署 PGP 可 分 为 以 下 3 个 步骤 。 


名 
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(1) 建立 PGP 证 书 管理 中 心 。PGP 证 书 服务 器 (PGP Certificate Server) 是 一 个 现成 的 工 
具 软 件 ， 用 于 在 大 型 网 络 系 统 中 建立 证 书 管理 中 心 ， 形 成 统一 的 公 钥 基础 结构 。PGP 证 书 服务 
器 结合 了 轻 量 级 目录 服务 器 (LDAP) 和 PGP 证 书 的 优点 ,， 大 大 简化 了 投递 和 管理 证 书 的 过 程 ， 
同时 具备 灵活 的 配置 管理 和 制度 管理 机 制 。 PGP 证 书 服务 器 支持 LDAP 和 HTTP 协议 ， 从 而 保 
证 与 PGP 客户 软件 的 无 缝 集 成， 其 Web 接口 允许 管理 员 执 行 各 种 功能 ， 包 括 配 置 、 报 告 和 状 
态 检 查 ， 并 具有 远程 管理 能 力 。 

(2) 对 文档 和 电子 邮件 进行 PGP 加 密 。 在 Windows 中 可 以 安装 PGP for Business Security， 
对 文件 系统 和 电子 邮件 系统 进行 加 密 传输 。 

(3) 在 应 用 系统 中 集成 PGP。 系 统 开发 人 员 可 以 利用 PGP 软件 开发 工具 包 (PGP Software 
Development Kit) 将 加 密 功能 结合 到 现 有 的 应 用 系统 〈 如 电子 商务 、 法 律 、 金 融 及 其 他 应 用 ) 
中 。PGP SDK 采用 C/C++ API， 提 供 一 致 的 接口 和 强健 的 错误 处 理 功 能 。 


8.9.3 S/MIME 


S/MIME (Secure/Multipurpose Internet Mail Extensions) 是 RSA 数据 安全 公司 开发 的 软件 。 
S/MIME 提供 的 安全 服务 有 报 文 完整 性 验证 、 数 字 签名 和 数据 加 密 。S/MIME 可 以 添加 在 邮件 
系统 的 用 户 代理 中 ， 用 于 提供 安全 的 电子 邮件 传输 服务 ， 也 可 以 加 入 其 他 的 传输 机 制 ( 例 如 
HTTP) 中 ， 安 全 地 传输 任何 MIME 报 文 ， 甚 至 可 以 添加 到 自动 报 文 传输 代理 中 ， 在 Intemet 
中 安全 地 传送 由 软件 生成 的 FAX 报 文 。S/MIME 得 到 很 多 制造 商 的 支持 , 各 种 S/MIME 产品 具 
有 很 高 的 互 操 作 性 ,S/MIME 的 安全 功能 基于 加 密 信息 语法 标准 PKCS #7(RFC2315) 和 XX.509v3 
证 书 ， 密 钥 长 度 是 动态 可 变 的 ， 具 有 很 高 的 灵活 性 。 

S/MIME 发 送 报 文 的 过 程 如 下 (A 一 B)。 

1) 准备 好 要 发 送 的 报 文 M (明文 ) 

(1) 生成 数字 指纹 MD5 (MD)。 

(2) 生成 数字 签名 =Kap 数字 指纹 )，Kap 为 A 的 (RSA) 私 钥 。 

(3) 加 密 数 字 签 名 ，K。( 数 字 签 名 )，K, 为 对 称 密 钥 ， 使 用 方法 为 3DES 或 RC2。 

(4) 加 密 报 文 ， 密 文 =K。( 明 文 )， 使 用 方法 为 3DES 或 RC2。 

(5) 生成 随机 串 passphrase。 

(6) 加 密 随 机 串 Kp (passphrase)，KseE 为 B 的 公 钥 。 

2) 解密 随机 串 Kap (passphrase)，Ksp 为 B 的 私 钥 

(1) 解密 报 文 ， 明 文 -=K。( 密 文 )。 

(2) 解密 数字 签名 ，Kae 〈 数 字 签名 )，KAE 为 A 的 (RSA) 公 钥 。 

(3) 生成 数字 指纹 MD5 (M)。 

(4) 比较 两 个 指纹 是 否 相 同 。 
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8.9.4 ”安全 的 电子 交易 


安全 的 电子 交易 (Secure Electronic Transaction，SET) 是 一 个 安全 协议 和 报 文 格式 的 集合 ， 
融合 了 Netscape 的 SSL、Microsoft 的 STT (Secure Transaction Technology)、Terisa 的 S-HTTP、 
以 及 PKI 技术， 通过 数字 证 书 和 数字 签名 机 制 ， 使 得 客户 可 以 与 供应 商 进行 安全 的 电子 交易 。 
SET 得 到 了 Mastercard、Visa 以 及 Microsoft 和 Netscape 的 支持 ， 成 为 电子 商务 中 的 安全 基础 
设施 。 

SET 提供 以 下 3 种 服务 。 

(1) 在 交易 涉及 的 各 方 之 间 提供 安全 信道 。 

(2) 使 用 X.509 数字 证 书 实现 安全 的 电子 交易 。 

(3) 保证 信息 的 机 密 性 。 

对 SET 的 需求 源 于 在 ntemet 上 使 用 信用 卡 进行 安全 支付 的 商业 活动 ， 如 对 交易 过 程 和 订 
购 信息 提供 机 密 性 保护 、 保 证 传输 数据 的 完整 性 、 对 信用 卡 持 有 者 的 合法 性 验证 、 对 供应 商 是 
和 否 可 以 接受 信用 卡 交易 提供 验证 、 创 建 既 不 依赖 于 传输 层 安 全 机 制 又 不 排斥 其 他 应 用 协议 的 互 
操作 环境 等 。 

役 定 用 户 的 客户 端 配置 了 具有 SET 功能 的 浏览 器 ， 而 交易 提供 者 〈 银 行 和 商店 ) 的 服务 器 
也 配置 了 SET 功能 ， 则 SET 交易 过 程 如 下 。 

(1) 客户 在 银行 开通 了 Mastercard 或 Visa 银行 账户 。 

(2) 客户 收 到 一 个 数字 证 书 ， 这 个 电子 文件 就 是 一 个 联机 购物 信用 卡 ， 或 称 电子 钱包 ， 其 
中 包含 了 用 户 的 公 钥 及 有 效 期 ， 通 过 数据 交换 可 以 验证 其 真实 性 。 

(3) 第 三 方 零售 商 从 银行 收 到 自己 的 数字 证 书 ， 其 中 包含 零售 商 的 公 钥 和 银行 的 公 钥 。 

(4) 客户 通过 网 页 或 电话 发 出 订单 。 

(5) 客户 通过 浏览 器 验证 了 零售 商 的 证 书 ， 确 认 零 售 商 是 合法 的 。 

(6) 浏览 器 发 出 定购 报 文 ， 这 个 报 文 是 通过 零售 商 的 公 钥 加 密 的 ， 而 支付 信息 是 通过 银行 
的 公 钥 加 密 的 ， 零 售 商 不 能 读 取 支 付 信息 ， 以 保证 指定 的 款项 用 于 特定 的 购买 。 

(7) 零售 商检 查 客户 的 数字 证 书 以 验证 客户 的 合法 性 ， 这 可 以 通过 银行 或 第 三 方 认 证 机 构 

(8) 零售 商 把 订单 信息 发 送 给 银行 ， 其 中 包含 银行 的 公 钥 、 客 户 的 支付 信息 以 及 零售 商 自 
己 的 证 书 。 

(9) 银行 验证 零售 商 和 定购 信息 。 

(10) 银行 进行 数字 签名 ， 向 零售 商 授权 ， 这 时 零售 商 就 可 以 签署 订单 了 。 
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8.9.5 Kerberos 


Kerberos 是 一 项 认证 服务 ， 它 要 解决 的 问题 是 : 在 公开 的 分 布 式 环境 中 ， 工 作 站 上 的 用 户 
希望 访问 分 布 在 网 络 上 的 服务 器 ， 希 望 服务 器 能 限制 授权 用 户 的 访问 ， 并 能 对 服务 请 求 进行 认 
证 。 在 这 种 环境 下 ， 存 在 以 下 3 种 威胁 。 

(1) 用 户 可 能 假装 成 另 一 个 用 户 在 操作 工作 站 。 

(2) 用 户 可 能 会 更 改 工作 站 的 网 络 地 址 ， 使 从 这 个 已 更 改 的 工作 站 发 出 的 请 求 看 似 来 自 被 
伪装 的 工作 站 。 

(3) 用 户 可 能 窃听 交换 中 的 报 文 ， 并 使 用 重 放 攻 击 进入 服务 器 或 打 断 正在 进行 中 的 操作 。 

在 任何 一 种 情况 下 ， 一 个 未 授权 的 用 户 能 够 访问 未 被 授权 访问 的 服务 和 数据 。Kerberos 不 
是 建立 一 个 精密 的 认证 协议 ， 而 是 提供 一 个 集中 的 认证 服务 器 ， 其 功能 是 实现 应 用 服务 器 与 用 
户 间 的 相互 认证 。 

有 两 个 版 本 的 Kerberos 方法 很 常用 。 现 在 ， 第 4 版 还 在 广泛 使 用 ,第 5 版 弥补 了 第 4 版 中 
存在 的 某 些 安全 漏洞 ， 并 已 作为 Internet 标准 草案 发 布 。 

Kerberos 是 MIT 为 校园 网 用 户 访问 服务 器 进行 身份 认证 而 设计 的 安全 协议 , 它 可 以 防止 偷 
听 和 重 放 攻 击 ， 保 护 数据 的 完整 性 。Kerberos 的 安全 机 制 如 下 。 

。 AS (Authentication Server): 认证 服务 器 ， 是 为 用 户 发 放 TGT 的 服务 器 。 

。 TGS (Ticket Granting Server): 票证 授予 服务 器 ， 负 责 发 放 访问 应 用 服务 器 时 需要 的 

票证 。 认 证 服务 器 和 票据 授予 服务 器 组 成 密 钥 分 发 中 心 (Key Distribution Center， 
KBE 

。 “V: 用 户 请 求 访问 的 应 用 服务 器 。 

。 ”TGT (Ticket Granting Ticket): 用 户 向 TGS 证 明 自己 身份 的 初始 票据 ， 即 Kres(A,Ks)。 

对 图 8-35 所 示 的 认证 过 程 解释 如 下 。 


[fi A | 一 | 
CDA AS 登录 


-一 (2)Ka(Ks, Kros (A, Ks)) [= 


3)Kras(A, Ks), V, Ks(D 
CDKros(A, Ks), V, Ks(D) TGS | 获取 票证 
[| CAK s(V, Kav), Kv(A, Kav) 


(SKv(A, Kav), KAvO [| 


V 得 到 服务 


| | (OKAvCHD 一 一 一 


图 8-35 Kerberos 
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(1) 用 户 向 KDC 申请 初始 票据 。 

(2) KDC 向 用 户 发 放 TGT 会 话 票据 。 

(3) 用 户 向 TGS 请 求 会 话 票 据 。 

(4) TGS 验证 用 户 身份 后 发 放 给 用 户 会 话 票 据 Kav。 

(5) 用 户 向 应 用 服务 器 请 求 登录 。 

(6) 应 用 服务 器 向 用 户 验 证 时 间 戳 。 

对 Kerberos 的 安全 机 制 分 析 如 下 。 

(1) Ka 是 用 户 的 工作 站 根据 输入 的 口令 字 导 出 的 Hash 值 ， 最 容易 受到 攻击 ， 但 是 Ks 的 
使 用 是 很 少 的 。 

(2) 系统 的 安全 是 基于 对 AS 和 TGS 的 绝对 信任 ， 实 现 软件 是 不 能 修改 的 。 

(3) 时 间 惟 1 可 以 防止 重 放 攻 击 。 

(4) 第 (2) 一 〈6) 步 使 用 加 密 手 段 ， 实 施 了 连续 认证 机 制 。 

(5) AS 存储 所 有 用 户 的 KA4， 以 及 TGS、V 的 标识 和 Kres，TGS 要 存储 Kres， 服 务 器 要 
存储 Kv。 

公 钥 基础 设施 是 基于 非 对 称 密 钥 的 密 钥 分 发 机 制 , 通过 双方 信任 的 证 书 授权 中 心 获取 对 方 
的 公 钥 ， 用 于 身份 认证 和 保密 通信 。 


8.10 ”可 信任 系统 


通常 将 可 信任 系统 定义 为 : 一 个 由 完整 的 硬件 及 软件 所 组 成 的 系统 ， 在 不 违反 访问 权限 的 
情况 下 , 它 能 同时 服务 于 不 限定 个 数 的 用 户 , 并 处 理 从 一 般 机 密 到 最 高 机 密 等 不 同 范围 的 信息 。 
更 进一步 ， 将 一 个 计算 机 系统 可 接受 的 信任 程度 加 以 分 级 ， 凡 符合 某 些 安全 条 件 、 基 准 、 规 则 
的 系统 即 可 归 类 为 某 种 安全 等 级 。 将 计算 机 系统 的 安全 性 能 由 高 到 低 划分 为 A、B、C、D 共 4 
个 大 等 级 7 个 小 等 级 ， 特 别 是 较 高 等 级 的 安全 范围 涵盖 较 低 等 级 的 安全 范围 ， 而 每 个 大 等 级 又 
以 安全 性 高 低 依次 编号 细 分 成 数 个 小 等 级 。 


1. D 级 ， 最 低 保护 〈Minimal Protection) 
其 也 称 安全 保护 和 欠缺 级 ， 凡 没有 通过 其 他 安全 等 级 测试 项 目的 系统 即 属于 该 级 ， 如 


IBM-PC、Apple Macintosh 等 个 人 计算 机 的 系统 虽 未 经 安全 测试 ， 但 如 果 有 ， 很 可 能 属于 此 级 。 
D 级 并 非 没有 安全 保护 功能 ， 只 是 太 弱 。 
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2. C 级， 自 定式 保护 《Discretionary Protection) 


该 等 级 的 安全 特点 在 于 系统 的 对 象 ( 如 文件 、 目 录 ) 可 由 系统 的 主题 (如 系统 管理 员 、 用 
户 和 应 用 程序 ) 自 定义 访问 权 。 例 如 ， 管 理 员 可 以 决定 某 个 文件 仅 允 许 一 特定 用 户 读 取 、 另 一 
用 户 写 入 。 某 人 可 以 决定 他 的 某 个 目录 可 公开 给 其 他 用 户 读 、 写 等 。 在 UNIX、Windows NT 
等 操作 系统 都 可 以 见 到 这 种 属性 。 该 等 级 依 安全 高 低 分 为 Cl 和 C2 两 个 安全 等 级 。 

(1) C1 级， 自主 安全 保护 级 。 可 信 计 算 基 (Trmsted Computing Base，TCB) 定义 和 控制 
系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 ( 如 访问 控制 表 〉 人 允许 命名 用 户 和 (或 )》 用 户 组 
的 身份 规定 并 控制 客体 的 共享 ， 以 及 阻止 非 授权 用 户 读 取 敏感 信息 。 

可 信 计 算 基 是 指 为 实现 计算 机 处 理 系统 安全 保护 策略 的 各 种 安全 保护 机 制 的 集合 。 

(2) C2 级 ， 受 控 存 取保 护 级 。 与 自主 安全 保护 级 相 比 ， 本 级 的 可 信 计 算 实 施 了 粒度 更 细 
的 自主 访问 控制 ， 它 通过 登录 规程 、 审 计 安全 性 相关 事件 以 及 隔离 资源 ， 使 用 户 能 对 自己 的 
行为 负责 。 


3. B 级 ， 强 制式 保护 〈Mandatory Protection) 


该 等 级 的 安全 特点 在 于 由 系统 强制 的 安全 保护 ， 在 强制 式 保护 模式 中 ， 每 个 系统 对 象 ( 如 
文件 、 目 录 等 资源 ) 及 主题 (如 系统 管理 员 、 用 户 和 应 用 程序 ) 都 有 自己 的 安全 标签 (Security 
Label)， 系 统 即 依据 用 户 的 安全 等 级 赋予 他 对 各 对 象 的 访问 权限 。 

(1) Bl 级 ， 标 记 安 全 保护 级 。 本 级 的 可 信 计 算 基 具有 受 近 期 存 取保 护 级 的 所 有 功能 。 此 
外 ， 还 可 提供 有 关 安 全 策略 模型 、 数 据 标记 以 及 主体 对 客体 强制 访问 控制 的 非 形式 化 描述 ; 
具有 准确 地 标记 输出 信息 的 能 力 ， 可 消除 通过 测试 发 现 的 任何 错误 。 

(2) B2 级 ,结构 化 保护 级 。 本 级 的 可 信 计 算 基 建立 于 一 个 明确 宣言 定义 的 形式 化 安全 策 
略 模型 之 上 ， 它 要 求 将 B1 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 。 此 外 ， 
还 要 考虑 隐蔽 通道 。 本 级 的 可 信 计 算 基 必 须 结构 化 为 关键 保护 元 素 和 非 关 键 保护 元 素 。 可 信 
计算 基 的 接口 也 必须 明确 定义 ， 使 其 设计 与 实现 能 经 受 更 充分 的 测试 和 更 完整 的 复审 ， 并 且 
加 强 了 认证 机 制 ， 支持 系统 管理 员 和 操作 员 的 职能 ;提供 可 信 设 施 管理 ， 增 强 了 配置 管理 控 
制 。 系 统 具有 相当 的 抗 渗透 能 力 。 

(3) B3 级 ， 安 全 域 级 。 本 级 的 可 信 计 算 基 满足 访问 监控 器 需求 。 访 问 监控 器 是 指 监控 主 
体 和 客体 之 间 授权 访问 关系 的 部 件 。 访 问 监控 器 仲裁 主体 对 客体 的 全 部 访问 。 访 问 监控 器 本 
身 是 抗 自 改 的 ， 必 须 足 够 小 ， 能 够 分 析 和 测试 。 为 了 满足 访问 监控 器 需求 ， 可 信 计 算 基 在 其 
构造 时 排除 实施 对 安全 策略 来 说 并 非 必要 的 代码 ; 在 设计 和 实现 时 ， 从 系统 工程 角度 将 其 复 
杂 性 降 到 最 低 ; 支持 安全 管理 员 职 能 ; 扩充 审计 机 制 ， 当 发 生 与 安全 相关 的 事件 时 发 出 信号 ; 
提供 系统 恢复 机 制 ， 且 系统 具有 很 高 的 抗 渗透 能 力 。 
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4. A 级 ， 可 验证 保护 (Verified Protection) 


虽然 橘 皮 书 仍 可 能 定义 比 Al 高 的 安全 等 级 ， 但 目前 此 级 仅 有 Al 等 级 ，A 等 级 的 功能 基 
本 上 与 B3 的 相同 ， 其 特点 在 于 A 等 级 的 系统 拥有 正式 的 分 析 及 数学 方法 ， 可 完全 证 明 该 系统 
的 安全 策略 及 安全 规格 的 完整 性 与 一 致 性 。 本 级 还 规定 了 将 安全 计算 机 系统 运送 到 现场 安装 所 
必须 遵守 的 程序 。 

可 信任 计算 机 系统 评 量 基 准 〈Trusted Computer System Evaluation Criteria) 是 美国 国家 安 
全 局 (NSA) 的 国家 计算 机 安全 中 心 (NCSC) 于 1983 年 8 月 颁发 的 官方 标准 ， 是 目前 颇具 权 
威 的 计算 机 系统 安全 标准 之 一 。 例 如 ， 微 软 的 Windows NT 4.0 及 以 上 版 本 目前 具有 C2 安全 等 
级 。 也 就 是 说 ， 它 的 安全 特性 就 在 于 自 定式 保护 ，NT 未 来 可 能 提高 到 B2 安全 等 级 。Windows 
2000 现 已 顺利 获得 认证 。UNIX 未 经 测试 时 ， 一 般 认 为 是 C1， 也 有 人 认为 是 C2。 


8.11 防火 墙 


8.11.1 ”防火墙 的 基本 概念 


随 着 mntemet 的 广泛 应 用 ， 人 们 在 扩展 了 获取 和 发 布 信息 能 力 的 同时 也 带 来 了 信息 被 污染 
和 破坏 的 危险 。 这 些 安全 问题 主要 是 由 网 络 的 开放 性 、 无 边界 性 和 自由 性 等 因素 造成 的 。 

(1) 计算 机 操作 系统 本 身 有 一 些 缺 陷 。 

(2) 各 种 服务 ， 如 Telnet、NFS、DNS 和 Active X 等 存在 安全 漏洞 。 

(3) TCP/IP 协议 几乎 没有 考虑 安全 因素 。 

(4) 追查 黑客 的 攻击 很 困难 ， 因 为 攻击 可 能 来 自 Intemet 上 的 任何 地 方 。 对 于 一 组 相互 
信任 的 主机 ， 其 安全 程度 是 由 最 弱 的 一 台 主 机 所 决定 的 ， 一 旦 被 攻破 ， 就 会 两 及 其 他 主机 。 

出 于 对 以 上 问题 的 考虑 ， 应 该 把 被 保护 的 网 络 与 开放 的 、 无 边界 的 、 不 可 信任 的 网 络 隔离 
起 来 ， 使 其 成 为 可 管理 、 可 控制 、 安 全 的 内 部 可 信任 网 络 。 要 做 到 这 一 点 ， 最 基本 的 隔离 手段 
就 是 使 用 防火 墙 。 防火 墙 作为 网 络 安 全 的 第 一 道门 户 ， 可 以 实现 内 部 可 信任 网 络 与 外 部 不 可 信 
任 网 络 之 间 (或 是 内 部 不 同 网 络 安 全 区 域 之 间 ) 的 隔离 和 访问 控制 。 

“防火 墙 ” 一 词 来 自 建筑 物 中 的 同名 设施 ， 从 字面 意思 上 说 ， 它 用 于 防止 火灾 从 建筑 物 的 
一 部 分 蔓延 到 其 他 部 分 。Intemet 防火 墙 也 要 起 到 同样 的 作用 ， 防 止 Intemet 上 的 不 安全 因素 蔓 
延 到 企业 或 组 织 的 内 部 网 。 

从 狭义 上 说 ， 防 火 墙 是 指 安 装 了 防火 墙 软件 的 主机 或 路 由 器 系统 ， 从 广义 上 说 ， 防 火 墙 还 
包括 整个 网 络 的 安全 策略 和 安全 行为 。 

AT&T 的 两 位 工程 师 William Cheswich 和 Steven Bellovin 给 出 了 防火 墙 的 明确 定义 。 

(1) 所 有 的 从 外 部 到 内 部 或 从 内 部 到 外 部 的 通信 都 必须 经 过 它 。 


第 8 章 网 络 安全 。 39 


(2) 只 有 内 部 访问 策略 授权 的 通信 才能 被 允许 通过 。 

(3) 系统 本 身 具有 很 强 的 可 靠 性 。 

总 而 言 之 , 防火 墙 是 一 种 网 络 安全 防护 手段 ,其 主要 目标 就 是 通过 控制 进 /出 一 个 网 络 的 权 
限 ， 并 对 所 有 经 过 的 数据 包 都 进行 检查 ， 防 止 内 网 络 受到 外 界 因素 的 干扰 和 破坏 。 在 逻辑 上 ， 
防火 墙 是 一 个 分 离 器 ， 一 个 限制 器 ， 也 是 一 个 分 析 器 ， 能 有 效 地 监视 内 部 网 络 和 Intemet 之 间 
的 任何 活动 ， 保 证 内 部 网 络 的 安全 ;在 物理 实现 上 ， 防 火 墙 是 位 于 网 络 特殊 位 置 的 一 组 硬件 设 
备 一 一 路 由 器 、 计 算 机 或 其 他 特别 配置 的 硬件 设备 。 防 火 墙 可 以 是 一 个 独立 的 系统 ， 也 可 以 在 
一 个 经 过 特别 配置 的 路 由 器 上 实现 防火 墙 。 


8.11.2 防火墙 的 功能 和 拓扑 结构 


从 内 部 网 络 安全 的 角度 ， 对 防火 墙 功 能 应 提出 下 列 需求 。 

(1) 防火 墙 应 该 由 多 个 部 件 组 成 ， 形 成 一 个 充分 宛 余 的 安全 系统 ， 避 免 成 为 网 络 中 的 “ 单 
失效 点 ”( 即 这 一 点 突破 则 无 安全 可 言 )。 

(2) 防火 墙 的 失效 模式 应 该 是 “失效 一 安全 ”型 ， 即 一 旦 防火 墙 失 效 、 崩 淡 或 重启 ， 则 必 
须 立即 阻 断 内 部 网 络 与 外 部 网 络 的 联系 ， 保 护 内 部 网 络 安全 。 

(3) 由 于 防火 墙 是 网 络 的 安全 屏障 ， 所 以 就 成 为 网 络 黑客 的 主要 攻击 对 象 ， 这 就 要 求 防火 
堵 的 主机 操作 系统 十 分 安全 可 靠 。 作 为 网 关 服务 器 的 主机 应 该 选用 增强 型 安全 核心 的 堡垒 主 
机 ， 以 增加 其 抗 攻击 性 。 同 时 在 网 关 服 务 器 中 应 禁止 运行 应 用 程序 ， 杜 绝 非法 访问 。 

(4) 防火 墙 应 提供 认证 服务 ， 外 部 用 户 对 内 部 网 络 的 访问 应 经 过 防火 墙 的 认证 检查 。 

(5) 防火 墙 对 外 部 网 络 屏蔽 或 隐藏 内 部 网 络 的 网 络 地 址 、 拓 扑 结构 等 信息 。 

另外 ， 防 火 墙 应 支持 通常 的 mntemet 应 用 (电子 邮件 、FIP、WWW 等 )， 以 及 企业 需要 的 
特殊 应 用 ， 为 这 些 网 络 应 用 分 别提 供 适 当 的 安全 控制 措施 ， 使 得 企业 内 部 网 络 既 有 必要 的 开放 
性 ， 又 有 严密 的 安全 性 。 

从 实现 的 功能 和 构成 部 件 来 划分 ， 防 火 墙 可 以 分 为 以 下 类 型 。 

(1) 过 滤 路 由 器 。 在 传统 路 由 器 中 增加 分 组 过 滤 功 能 就 形成 了 最 简单 的 防火 墙 。 这 种 防火 
墙 的 优点 是 完全 透明 、 成 本 低 、 速 度 快 、 效 率 高 。 缺 点 是 这 种 防火 墙 会 成 为 网 络 中 的 单 失效 点 。 
而 且 由 于 路 由 器 的 基本 功能 是 转发 分 组 ， 一 旦 过 滤 机 制 失效 〈 例 如 唱 遇 下 欺骗 )， 就 会 使 得 非 
法 访问 者 进入 内 部 网 络 ， 所 以 这 种 防火 墙 不 是 “失效 一 安全 ”模式 的 。 这 种 防火 墙 不 能 提供 有 
效 的 安全 功能 。 

(2) 双 宿 主 网 关 (Dual-Homed Gateway)。 这 种 防火 墙 由 具有 两 个 网 络 接口 主机 系统 构成 。 
双 宿 主机 内 外 的 网 络 均 可 与 双 宿 主机 实施 通信 ， 但 不 可 直接 通信 。 内 外 网 络 要 进行 通信 ， 须 在 
在 网 关 服 务 器 上 注册 或 通过 代理 来 提供 很 高 程度 的 网 络 控制 。 使 用 代理 服务 器 会 大 大 简化 用 户 
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的 访问 过 程 ， 如 果 应 用 了 SOCKS 服务 ， 甚 至 可 以 做 到 对 用 户 完 全 透明 。 

从 失效 模式 上 看 ， 双 宿主 网 关 是 “失效 一 安全 ”型 ， 因 为 运行 网 关 软 件 的 主机 在 没有 显 式 
配置 的 情况 下 是 不 会 转发 分 组 的 。 然 而 ， 由 于 这 种 防火 墙 是 由 单个 主机 组 成 的 ， 没 有 安全 宛 余 
机 制 ， 仍 是 网 络 中 的 单 失效 点 ， 而 且 有 些 安全 功能 〈 例 如 认证 ) 单独 利用 代理 服务 器 也 不 易 实 
现 ， 所 以 还 是 不 够 安全 的 防火 墙 。 

(3) 过 滤 式 主机 网 关 。 这 种 防火 墙 由 过 滤 路 由 器 和 运行 网 关 软 件 的 主机 《代理 服务 器 ) 组 
成 ， 如 图 8-36 所 示 。 


认证 服务 器 


Internet 入 > 


过 滤 路 由 器 
代理 服务 器 


FTP 服 务 器 前 


图 8-36 ”过 滤 式 主机 网 关 

在 这 种 结构 中 ， 路 由 器 是 内 部 网 络 的 第 一 道 防线 ， 主 要 起 分 组 过 滤 作 用 。 根 据 配 置 情况 ， 
代理 服务 器 可 以 完成 以 下 功能 。 

。 ”作为 内 部 网 络 的 域名 服务 器 。 

。 ”作为 信息 服务 器 提供 公共 信息 服务 ， 例 如 WWW 服务 或 FTP 服务 。 

。 “作为 与 外 部 通信 的 公共 网 关 服 务 器 。 

。 ”主机 可 以 完成 多 种 代理 功能 , 例如 区 分 普通 的 FTP 和 匿名 的 FTP, 区 分 外 向 的 或 内 向 

的 Telnet 请 求 ， 还 可 以 与 认证 服务 器 交互 作用 实现 认证 功能 。 

这 种 防火 墙 能 够 提供 比较 完善 的 Internet 访问 控制 ， 但 是 也 有 两 个 缺点 。 一 是 主机 要 实现 
多 种 功能 ， 因 而 配置 复杂 ; 二 是 主机 仍 是 网 络 的 单 失效 点 , 也 会 成 为 网 络 黑客 集中 攻击 的 目标 。 
所 以 这 种 防火 墙 仍然 不 能 提供 理想 的 安全 保障 。 
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(4) 过 滤 式 子 网 。 与 过 滤 式 网 关 相 比较 ， 这 种 防火 墙 将 单 台 主 机 的 功能 分 散 到 多 个 主机 组 


成 的 子 网 中 实现 ， 如 图 8-37 所 示 。 有 的 主机 作为 Web 服务 器 ， 有 的 作为 FTP 服务 器 ， 还 有 的 
主机 可 以 作为 代理 服务 器 ， 以 维持 所 有 内 外 网 之 间 的 连接 。 


认证 服务 器 


S> 内 部 网 


过 滤 路 由 器 


代理 服务 器 


图 8-37 过 滤 式 子 网 结构 


从 功能 特性 看 ， 这 种 防火 墙 与 过 滤 式 主机 网 关 类 似 , 但 由 于 子 网 中 的 每 个 主机 只 运行 一 种 
业务 ， 因 而 容易 配置 ， 而 且 也 减少 了 疤 入 者 突破 的 机 会 。 

对 于 子 网 中 的 服务 器 ， 内 部 用 户 和 外 部 用 户 都 可 以 访问 。 这 种 处 于 内 部 网 络 与 外 部 网 络 之 
间 的 子 网 被 称 为 边界 网 络 ， 也 叫 作 非 军事 区 (DeMilitarized Zone，DMZ)， 这 个 名 称 反 映 了 这 
种 子 网 的 特殊 作用 。 

(5) 悬挂 式 结构 。 这 种 防火 墙 的 结构 如 图 8-38 所 示 ， 与 过 滤 式 子 网 的 主要 区 别 是 作为 代 
理 服务 器 的 主机 网 关 位 于 边界 网 络 中 ， 另 外 还 增加 了 内 部 过 滤 路 由 器 进一步 保障 内 部 网 络 的 安 
全 。 这 个 改进 从 安全 角度 看 是 很 重要 的 ， 代 理 服务 器 成 为 内 部 网 络 的 第 一 道 防线 ， 而 内 部 路 由 
器 是 第 二 道 防线 。 把 企业 网 络 提供 的 公共 服务 前 置 到 边界 网 络 中 ， 降 低 了 内 部 网 络 的 风险 。 这 
种 结构 符合 前 面 提 到 的 各 种 需求 (各 种 必要 的 应 用 ， 充 分 元 余 的 安全 机 制 ， 隐 项 内 部 网 络 的 细 
节 等 )， 因 而 是 理想 的 安全 防火 墙 。 现 代 商 用 防火 墙 虽然 表现 为 单一 的 部 件 级 产品 ， 但 都 具有 
类 似 的 配置 ， 都 能 提供 类 似 的 功能 。 
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图 8-38 悬挂 式 网 结构 


图 8-39 表示 出 各 种 防火 增 的 安全 等 级 。 开 放 式 网 络 的 安全 级 别 最 低 ， 因 为 开放 的 Internet 
是 不 安全 的 。 过 滤 路 由 器 能 提供 最 简单 的 安全 措施 ， 随 着 各 种 代理 服务 器 的 加 入 ， 内 部 网 络 的 
安全 性 逐步 得 到 提高 ， 安 全 的 操作 系统 提高 了 防火 墙 的 抗 攻击 型 ， 认 证 服务 对 保护 内 部 网 络 安 
全 提供 了 更 加 完备 的 补充 。 另 外 ， 不 允许 外 部 访问 的 网 络 完全 排除 了 入 侵 的 可 能 性 ， 但 是 内 部 
的 安全 还 需要 特别 的 管理 措施 来 保障 。 事 实 上 ， 许 多 机 密 组 织 的 内 部 网 络 与 Internet 是 物理 隔 


离 的 ， 但 是 需要 付出 高 昂 的 代价 。 
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图 8-39 各 种 防火 墙 的 安全 性 能 
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8.12 ”计算 机 病毒 及 防护 


8.12.1 计算 机 病毒 概述 


1. 计算 机 病毒 的 特征 


所 谓 病 毒 ， 是 指 一 段 可 执行 的 程序 代码 ， 通 过 对 其 他 程序 进行 修改 ， 可 以 感染 这 些 程序 ， 
使 其 含有 该 病毒 程序 的 一 个 副本 。 病 毒 与 正常 程序 唯一 的 区 别 是 它 能 将 自己 附着 在 另外 一 个 程 
序 上 ， 在 宿主 程序 运行 时 触发 病毒 程序 代码 的 执行 。 一 旦 病毒 执行 ， 它 可 以 完成 病毒 程序 预 设 
的 功能 ， 例 如 删除 文件 和 程序 等 。 

在 病毒 的 生存 期 内 ， 典 型 的 病毒 经 历 了 下 面 4 个 阶段 。 

(1) 潜伏 阶段 。 在 该 阶段 ， 病 毒 处 于 未 运行 状态 ， 一 般 需 要 通过 某 个 事件 来 激活 ， 例 如 一 
个 时 间 点 、 一 个 程序 或 文件 的 存在 、 宿 主 程序 的 运行 , 或 者 磁盘 的 容量 超出 某 个 限制 等 。 然 而 ， 
并 不 是 所 有 的 病毒 都 要 经 过 这 个 阶段 。 

(2) 繁殖 阶段 。 在 该 阶段 ， 病 毒 将 自己 的 副本 放 入 其 他 程序 或 者 磁盘 上 的 特定 系统 区 域 ， 
使 得 程序 包含 病毒 的 一 个 副本 ， 即 对 程序 进行 感染 。 

(3) 触发 阶段 。 在 该 阶段 ， 由 于 各 种 可 能 的 触发 条 件 的 满足 ， 导 致 病毒 被 激活 ， 以 执行 病 
毒 程序 预 设 的 功能 。 

(4) 执行 阶段 。 病 毒 程序 预 设 的 功能 被 完成 。 

大 多 数 病毒 按照 一 种 与 特定 操作 系统 有 关 的 ， 或 者 在 某 种 情况 下 与 特定 硬件 平台 有 关 的 方 
式 来 完成 它们 的 工作 。 因 此 ， 它 们 可 以 被 设计 成 利用 特定 系统 或 平台 的 细节 漏洞 或 者 弱点 来 
工作 。 

一 旦 病毒 通过 感染 一 个 程序 进入 系统 , 当 被 感染 程序 执行 时 , 它 就 处 于 可 执行 文件 的 位 置 。 
防止 病毒 感染 非常 困难 ， 因 为 病毒 可 以 是 任何 程序 的 一 部 分 。 任 何 操作 系统 和 应 用 程序 ， 都 存 
在 着 已 知 或 者 未 知 的 漏洞 ， 都 存在 着 被 病毒 攻击 的 风险 。 

2. 病毒 的 分 类 和 命名 规则 

病毒 名 称 的 一 般 格 式 为 < 病毒 前 级 >.< 病 毒 名 >.< 病 毒 后 级 >。 病 毒 前 缀 是 指 病毒 的 种 类 ， 不 
同 种 类 的 病毒 其 前 组 是 不 同 的 。 比 如 常见 的 木马 病毒 的 前 绥 为 Trojan, 蠕虫 病毒 的 前 级 是 Worm 
等 。 病 毒 名 是 指 一 个 病毒 的 家 族 特 征 , 例如 CIH 病毒 的 家 族 名 是 “CIH”， 振 荡 波 旺 虫 病毒 的 家 
族 名 是 “Sasser”。 病 毒 后 缀 是 用 来 区 别 某 个 家 族 病毒 的 不 同 变种 的 ， 一 般 都 采用 英文 字母 来 表 
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示 ， 如 Worm.Sasserb 就 是 指 振荡 波 蠕虫 病毒 的 变种 b。 如 果 病 毒 变种 非常 多 ， 可 以 采用 数字 
与 字母 混合 表示 。 常 见 的 病毒 可 以 根据 其 行为 特征 归纳 为 以 下 几 类 。 

(1) 系统 病毒 ， 其 前 级 为 Win32、PE、Win95、W32、W95 等 。 这 些 病 毒 的 一 般 共 同 的 特 
性 是 感染 Windows 操作 系统 的 exe 和 dll 文件 ， 并 通过 这 些 文件 进行 传播 。 例 如 CIH 病毒 。 

(2) 蠕虫 病毒 ， 其 前 级 是 Worm。 这 种 病毒 的 特性 是 通过 网 络 或 者 系统 漏洞 进行 传播 ， 大 
部 分 蠕虫 病毒 都 有 向 外 发 送 带 毒 邮件 、 阻 塞 网 络 的 特性 。 例 如 冲击 波 病毒 〈 阻 塞 网 络 )、 小 邮 
差 病 毒 〈 发 送 带 毒 邮件 ) 等 。 

(3) 木马 病毒 和 黑客 病毒 : 木马 病毒 的 前 绥 为 Trojan， 黑 客 病毒 的 前 级 为 Hack。 木 马 病毒 
的 特征 是 通过 网 络 或 系统 漏洞 进入 用 户 系统 并 隐藏 起 来 ， 然 后 向 外 界 泄露 用 户 的 解密 信息 ;而 
黑客 病毒 有 一 个 可 视 的 界面 ， 能 对 用 户 的 计算 机 进行 远程 控制 。 木 马 和 黑客 病毒 往往 是 成 对 出 
现 的 ， 即 木马 病毒 负责 侵入 用 户 计算 机 ， 而 黑客 病毒 则 通过 木马 病毒 进行 远程 控制 。 现 在 这 两 
种 病毒 越 来 越 趋 向 于 整合 了 。 一 般 的 木马 病毒 有 QQ 消息 尾巴 木马 Trojan.QQ3344， 针 对 网 络 
游戏 的 木马 Trojan.LMirPSW.60。 当 病毒 名 中 有 PSW 或 者 PWD 时 ， 表 示 这 种 病毒 有 盗 取 密 码 
的 功能 ， 黑 客 程序 有 网 络 泉 雄 Hack.Nether Client 等 。 

(4) 脚本 病毒 ， 其 前 级 是 Script。 脚 本 病毒 的 共同 特性 是 使 用 脚本 语言 编写 ， 通 过 网 页 进 
行 传播 ， 如 红色 代码 ScriptRedlof。 脚 本 病毒 还 可 能 有 前 绥 VBS、JS (表明 是 用 何 种 脚本 编写 
的 )， 如 欢乐 时 光 病 毒 (VBS.Happytime)、 十 四 日 病毒 (Js.Fortnight.c.s) 等。 

(5) 宏 病 毒 ， 宏 病毒 是 一 种 寄存 在 文档 或 文档 模板 的 宏 中 的 计算 机 病毒 。 一 旦 打开 这 样 的 
文档 ， 其 中 的 宏 就 会 被 执行 ， 于 是 宏 病 毒 就 会 被 激活 ， 并 驻 留 在 Normal 模板 上 。 从 此 以 后 ， 
所 有 自动 保存 的 文档 都 会 “感染 ”上 这 种 宏 病 毒 ， 而 且 如 果 其 他 用 户 打 开 了 感染 病毒 的 文档 ， 
宏 病毒 又 会 转移 到 他 的 计算 机 上 。 它 是 一 种 脚本 病毒 。 安 病毒 的 前 缀 是 Macro， 第 二 前 级 是 
Word、Word97、Excel、Excel97 等 。 

。 ”凡是 只 感染 Word97 及 以 前 版 本 Word 文档 的 病毒 采用 Word97 作为 第 二 前 级 ， 格 式 是 


Macro. Word97; 

。 凡是 只 感染 Word97 以 后 版 本 Word 文档 的 病毒 采用 Word 作为 第 二 前 级 ， 格 式 是 
Macro. Word:; 

。 凡是 只 感染 Excel97 及 以 前 版 本 Excel 文档 的 病毒 采用 Excel97 作为 第 二 前 级 , 格式 是 
Macro.Excel97; 


。 凡是 只 感染 Excel97 以 后 版 本 Excel 文档 的 病毒 采用 Excel 作为 第 二 前 级 ， 格 式 是 
Macro.Excel， 依 此 类 推 。 
这 类 病毒 的 共同 特性 是 能 感染 O 人 ce 文档 , 然后 通过 OfEce 通用 模板 进行 传播 ,例如 著名 
的 梅 丽 莎 病 毒 Macro.Melissa。 
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(6) 后 门 病毒 : 其 前 级 是 Backdoor, 这 类 病毒 的 共同 特性 是 通过 网 络 传播 , 给 系统 开 后 门 ， 
给 用 户 的 计算 机 带 来 安全 隐患 。 

(7) 病毒 种 植 程序 ， 这 类 病毒 的 共同 特征 是 运行 时 会 释放 出 一 个 或 几 个 新 的 病毒 ， 存 放 在 
系统 目录 下 , 并 由 释放 出 来 的 新 病毒 产生 破坏 作用 。 例如 冰河 播种 者 Dropper.BingHe2.2C、MSN 
射手 病毒 Dropper Worm.Smibag 等 。 

(8) 破坏 性 程序 病毒 ， 其 前 级 是 Harm。 这 类 病毒 的 共同 特性 是 本 身 具有 好 看 的 图 标 来 诱 
惑 用 户 点 击 。 当 用 户 点 击 这 类 病毒 时 ， 病 毒 便 会 对 用 户 的 计算 机 产生 破坏 。 例 如 格式 化 C 盘 的 
病毒 Harm.formatCf、 杀 手 命令 病毒 Harm.Command.Killer 等 。 

(9) 玩笑 病毒 ， 其 前 级 是 Joke， 也 称 恶 作 剧 病毒 。 这 类 病毒 的 共同 特征 是 具有 好 看 的 图 标 
来 诱惑 用 户 点 击 。 当 用 户 点 击 这 类 病毒 文件 时 ， 病 毒 会 呈现 出 各 种 破坏 性 画面 来 吓 忠 用户， 其 
实 病毒 并 没有 对 计算 机 进行 任何 破坏 。 例 如 女 鬼 病毒 (Joke.Girlghost)。 

(10) 捆绑 机 病毒 ， 其 前 级 是 Binder， 这 类 病毒 的 共同 特征 是 病毒 作者 使 用 特定 的 捆绑 程 
序 将 病毒 与 一 些 应 用 程序 (如 QQ、 正 等 ) 捆绑 起 来 ， 表 面 上 看 是 一 个 正常 文件 。 当 用 户 运行 
捆绑 了 病毒 的 程序 时 ， 表 面 上 运行 的 是 应 用 程序 ， 实 际 上 隐藏 地 运行 了 捆绑 在 一 起 的 病毒 ， 从 而 给 
用 户 造成 危害 。 例 如 捆绑 QQ 病毒 (BinderQQPassQQBin)、 系 统 杀 手 病毒 (Binderkillsys) 等 。 

另外 ， 还 有 一 些 特殊 病毒 值得 一 提 ， 例 如 DoS 病毒 会 针对 某 台 主机 或 者 服务 器 进行 DoS 
攻击 ;Exploit 病毒 会 通过 溢出 系统 漏洞 来 传播 自身 ,或 者 其 本 身 就 是 一 个 用 于 Hacking 的 溢出 
工具 ; HackTool 是 一 种 黑客 工具 ， 也 许 它 本 身 并 不 破坏 用 户 的 机 器 ， 但 是 会 被 别人 利用 ， 动 持 
用 户 去 破坏 其 他 人 。 

病毒 名 称 可 以 帮助 用 户 判断 病毒 的 基本 情况 ,在 杀毒 程序 无 法 自动 查 杀 打算 采用 手工 方式 
查 杀 病毒 时 ， 病 毒 名 称 提 供 的 信息 会 对 查 杀 病毒 有 所 帮助 。 


8.12.2 ”计算 机 病毒 防护 


1. 反 病 毒 的 方法 


病毒 和 反 病毒 技术 是 相生 相克 ， 共 同 进步 的 。 早 期 的 病毒 是 相对 简单 的 代码 片段 ， 可 以 使 
用 相对 简单 的 反 病毒 软件 包 进行 标识 和 清除 。 随 着 时 间 的 推移 ， 病 毒 和 反 病 毒 软件 都 变 得 越 来 
越 复杂 ， 反 病毒 软件 也 经 历 了 4 个 阶段 。 

(1) 简单 的 扫描 程序 〈 第 一 代 )。 使 用 扫描 程序 对 文件 进行 扫描 ， 通 过 病毒 的 签名 或 特征 
码 来 识别 病毒 。 然 而 ， 在 病毒 的 “进化 ”过 程 中 ， 病 毒 的 签名 或 特征 码 变 的 越 来 越 难以 捉摸， 
病毒 可 能 包含 “通配符 ”。 因 此 ， 根 据 签名 或 者 特征 码 以 扫描 病毒 ， 只 能 检测 到 已 知 的 病毒 。 
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对 于 未 知 病毒 和 病毒 的 变种 ， 变 得 无 能 为 力 或 者 极 大 的 耗费 扫描 时 间 。 

(2) 启发 式 的 扫描 程序 (第 二 代 )。 不 依赖 专门 的 签名 。 相 反 ， 扫 描 程序 使 用 启发 式 的 规 
则 来 搜索 可 能 的 病毒 感染 ， 这 种 扫描 程序 的 一 个 类 别 是 查找 经 常 和 病毒 联系 在 一 起 的 代码 段 。 
另 一 种 第 二 代 方 法 是 完整 性 检查 ， 可 以 为 每 个 程序 附加 检验 和 ， 如 果 病 毒 感染 了 程序 ， 但 没有 
修改 检验 和 ， 那 么 一 次 完整 性 检查 将 会 抓 住 变化 。 为 了 对 付 可 以 在 感染 程序 时 修改 检验 和 的 复 
杂 病 毒 ， 可 以 使 用 加 密 的 散 列 函数 。 加 密 密 钥 和 程序 分 开 存放 ， 使 得 病毒 不 能 生成 新 的 散 列 代 
码 并 对 其 加 密 。 通 过 使 用 散 列 函数 而 不 是 更 简单 的 检验 和 ， 可 以 避免 病毒 像 以 前 一 样 调整 程序 
来 产生 同样 散 列 代码 。 

(3) 行为 陷阱 〈 第 三 代 )。 这 是 一 些 存储 器 驻 留 程序 ， 它 们 通过 病毒 的 动作 而 不 是 通过 其 
在 被 感染 程序 中 的 结构 来 识别 病毒 。 这 样 的 程序 的 优点 在 于 它 不 必 为 数量 巨大 的 病毒 开发 签名 
和 启发 式 规则 ， 相 反 ， 只 需 识别 一 个 小 的 指示 了 感染 正在 进行 的 动作 集合 ， 然 后 进行 干涉 。 

(4) 全 方位 的 保护 第 四 代 )。 这 是 一 些 由 不 同 的 联合 使 用 的 反 病 毒 技术 组 成 的 软件 包 。 
这 些 技术 中 包括 了 扫描 和 行为 陷阱 构件 。 另 外 ， 这 样 的 软件 包括 了 访问 控制 能 力 ， 它 同时 限制 
了 病毒 渗透 系统 的 能 力 和 病毒 对 文件 进行 修改 的 能 力 。 


2. 先进 的 反 病毒 技术 


更 加 先进 的 反 病毒 方法 和 产品 不 断 出 现 ， 主 要 如 下 。 

1) 类 属 解密 (Generic Decryption，GD) 

使 得 反 病 毒 程序 可 以 容易 地 检测 出 甚至 是 最 复杂 的 多 形 病 毒 ， 同 时 保持 快速 的 扫描 速度 。 
考虑 当 包含 一 个 多 形 病 毒 的 文件 在 执行 时 ， 病 毒 必须 解密 自身 来 激活 。 为 了 检测 这 样 的 结构 ， 
可 执行 文件 通过 GD 扫描 来 运行 。 设 计 GD 扫描 器 最 困难 的 问题 就 是 确定 每 一 次 解释 运行 多 长 
时 间 。 和 典型 的 ， 程 序 开始 执行 之 后 很 快 就 会 激活 病毒 部 分 ， 但 这 个 需求 并 不 总 是 成 立 的 。 扫 描 
模拟 一 个 程序 的 时 间 越 长 ， 它 就 越 可 能 抓 住所 有 隐藏 的 病毒 。 但 是 ， 反 病毒 程序 只 可 以 花费 有 
限 的 时 间 和 资源 ， 和 否则 用 户 就 会 抱怨 。 

2) 数字 免疫 系统 

数字 免疫 系统 是 IBM 开发 的 一 个 病毒 保护 的 综合 方法 ， 开 发 这 个 系统 的 动机 是 基于 因 特 
网 的 病毒 繁殖 日 益 增长 的 威胁 。 该 系统 对 前 述 的 程序 模拟 的 使 用 进行 了 扩展 ， 提 供 了 一 个 通用 
的 模拟 和 病毒 检测 系统 。 其 目标 是 提供 快速 的 相应 时 间 , 使 得 病毒 被 引入 时 立刻 就 能 识别 出 来 。 
当 一 个 新 病毒 进入 一 个 组 织 时 ， 免 疫 系统 自动 地 抓 住 它 、 分 析 它 ， 为 它 增 加 检测 和 隔离 物 ， 删 
除 它 并 且 将 有 关 这 个 病毒 的 信息 传递 给 运行 着 的 BM AntiVirus 系统 ， 使 得 病毒 在 其 他 地 方 运 
行 之 前 能 被 检测 出 来 。 
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8.13 入侵 检测 


8.13.1 人 侵 检测 系统 概述 


入 侵 检测 系统 〈Intrusion Detection System，IDS) 作为 防火 墙 之 后 的 第 二 道 安 全 屏障 ， 通 
过 从 计算 机 系统 或 网 络 中 的 若干 关键 点 收集 网 络 的 安全 日 志 、 用 户 的 行为 、 网 络 数据 包 和 审计 
记录 等 信息 并 对 其 进行 分 析 ， 从 中 检查 是 否 有 违反 安全 策略 的 行为 和 遭 到 入 侵 攻 击 的 迹象 ， 入 
侵 检 测 系统 根据 检测 结果 ， 自 动 做 出 响应 。IDS 的 主要 功能 包括 对 用 户 和 系统 行为 的 监测 与 分 
析 、 系 统 安全 漏洞 的 检查 和 扫描 、 重 要 文件 的 完整 性 评估 、 己 知 攻击 行为 的 识别 、 异 常 行为 模 
式 的 统计 分 析 、 操 作 系统 的 审计 跟踪 ， 以 及 违反 安全 策略 的 用 户 行为 的 检测 等 。 入 侵 检测 通过 
实时 地 监控 入 侵 事件 ， 在 造成 系统 损坏 或 数据 丢失 之 前 阻止 入 侵 者 进一步 的 行动 ， 使 系统 能 尽 
可 能 的 保持 正常 工作 。 与 此 同时 ，IDS 还 需要 收集 有 关 入 侵 的 技术 资料 ， 用 于 改进 和 增强 系统 
抵抗 入 侵 的 能 力 。 

1. 人 入侵 检 测 系统 的 框架 结构 


美国 国防 部 高 级 研究 计划 局 (DARPA) 提出 的 公共 入 侵 检测 框架 (Common Intrusion 
Detection Framework，CIDF) 由 4 个 模块 组 成 ， 如 图 8-40 所 示 。 


| 事件 或 反应 


音 下 事件 存储 信息 


人 
高 级 事件 
事件 分 析 器 事件 数据 库 
原始 或 | 低级 事件 
事件 产生 器 
人 事件 源 


图 8-40 ”CIDF 体系 结构 
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(1) 事件 产生 器 (Event generators，E-boxes) 。 负 责 数据 的 采集 ， 并 将 收集 到 的 原始 数据 
转换 为 事件 ， 向 系统 的 其 他 模块 提供 与 事件 有 关 的 信息 。 入 侵 检测 所 利用 的 信息 一 般 来 自 4 个 
方面 : 系统 和 网 络 的 日 志文 件 、 目 录 和 文件 中 不 期 望 的 改变 、 程 序 执行 中 不 期 望 的 行为 、 物 理 
形式 的 入 侵 信 息 。 入 侵 检测 要 在 网 络 中 的 若干 关键 点 〈 不 同 网 段 和 不 同 主机 ) 收集 信息 ， 并 通 
过 多 个 采集 点 信息 的 比较 来 判断 是 否 存在 可 疑 迹 象 或 发 生 入 侵 行为 。 

(2) 事件 分 析 器 (Event Analyzers，A-boxes) 。 接 收 事件 信息 并 对 其 进行 分 析 ， 判 断 是 否 
为 入 侵 行 为 或 异常 现象 ， 分 析 方 法 有 下 面 3 种 。 

@ 模式 匹配 。 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 数据 库 进行 比较 ， 从 而 发 现 违背 安全 策 
略 的 行为 。 

@ 统计 分 析 。 首 先 给 系统 对 象 〈 例 如 用 户 、 文 件 、 目 录 和 设备 等 ) 建立 正常 使 用 时 的 特 
征文 件 (Profile) ， 这 些 特征 值 将 被 用 来 与 网 络 中 发 生 的 行为 进行 比较 。 当 观察 值 超出 正常 值 
范围 时 ， 就 认为 有 可 能 发 生 入 侵 行为 。 

@ 数据 完整 性 分 析 。 主 要 关注 文件 或 系统 对 象 的 属性 是 否 被 修改 ， 这 种 方法 往往 用 于 事 
后 的 审计 分 析 。 

(3) 事件 数据 库 〈Event DataBases，D-boxes) 。 存 放 有 关 事 件 的 各 种 中 间 结 果 和 最 终 数据 
的 地 方 ， 可 以 是 面向 对 象 的 数据 库 ， 也 可 以 是 一 个 文本 文件 。 

(4) 响应 单元 (Response units，R-boxes) 。 根 据 报 警 信息 做 出 各 种 反应 ， 强 烈 的 反应 就 
是 断 开 连 接 、 改 变 文件 属性 等 ， 简 单 的 反应 就 是 发 出 系统 提示 ， 引 起 操作 人 员 注 意 。 

入 侵 检测 系统 是 一 个 监听 设备 , 无 须 跨 接 在 任何 链 路 上 , 不 产生 任何 网 络 流量 便 可 以 工作 。 
因此 ， 对 IDS 部 署 的 唯一 要 求 是 应 当 挂 接 在 所 关注 流量 必须 流 经 的 链 路 上 。 在 这 里 ，“ 所 关注 
流量 ” 指 的 是 来 自 高 危 网 络 区 域 的 访问 流量 以 及 需要 统计 、 监 视 的 网 络 报 文 。 目 前 的 网 络 都 是 
交换 式 的 拓扑 结构 ， 因 此 一 般 选 择 在 尽 可 能 靠近 攻击 源 ， 或 者 尽 可 能 接近 受 保护 资源 的 地 方 ， 
这 些 位 置 通常 是 : 

(1) 服务 器 区 域 的 交换 机 上 。 

(2) Internet 接 入 路 由 器 之 后 的 第 一 台 交 换 机 上 。 

(3) 重点 保护 网 段 的 局 域 网 交换 机 上 。 

典型 的 入 侵 检 测 系统 的 部 署 方式 如 图 8-41 所 示 。 


2. 入侵 检测 系统 的 数据 源 


根据 不 同 的 数据 源 ，IDS 所 使 用 的 入 侵 检测 技术 也 有 所 不 同 ， 目 前 ， 对 于 入 侵 检测 所 分 析 
的 数据 源 有 以 下 几 种 来 源 。 
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服务 器 


IDS 管理 主机 


IDS 检 测 引擎 


图 8-41 IDS 的 部 署 


1) 操作 系统 审计 记录 

计算 机 的 操作 系统 对 与 用 户 使 用 计算 机 的 过 程 ， 会 有 相应 的 记录 。 最 早 用 于 入 侵 检测 系统 
分 析 的 数据 源 来 自 于 操作 系统 的 审计 子 系统 所 产生 的 审计 记录 。 它 记录 了 系统 的 活动 信息 ， 如 
用 户 进程 所 执行 的 命令 和 系统 调用 类 型 等 。 由 于 审计 子 系统 对 审计 记录 采取 了 保护 机 制 ， 从 而 
使 用 审计 记录 作为 检测 数据 是 安全 可 靠 的 。 

2) 操作 系统 日 志 

操作 系统 日 志 是 操作 系统 生成 的 与 主机 信息 相关 的 日 志文 件 ， 记 录 系 统 中 硬件 、 软 件 和 系 
统 问 题 的 信息 ， 同 时 还 可 以 监视 系统 中 发 生 的 事件 。 包 括 系 统 日 志 、 应 用 程序 日 志和 安全 日 志 。 
可 以 通过 它 来 检查 错误 发 生 的 原因 ， 或 者 寻找 受到 攻击 时 攻击 者 留 下 的 痕迹 。 尽 管 较 之 于 系统 
的 审计 记录 ， 其 自身 的 安全 性 有 所 欠缺 ， 但 由 于 它 较 为 完整 的 记录 了 系统 中 发 生 的 事情 ， 且 容 
易 处 理 ， 因 而 成 为 入 侵 检测 的 数据 源 之 一 。 

3) 网 络 数据 

网 络 数 据 源 是 指 流 经 网 络 接口 的 网 络 数据 包 和 网 络 连 接 的 记录 总 和 。 

基于 网 络 数据 包 的 检测 主要 是 分 析 包 的 协议 字段 和 负载 内 容 ， 以 数据 包 作为 检测 数据 源 可 
以 从 报 文 级 发 现 入 侵 ， 但 随 着 网 络 应 用 的 不 断 增多 ， 网 络 中 的 数据 包 和 连接 数量 也 在 以 指数 级 
递增 ， 因此， 这 类 数据 源 对 于 数据 的 分 析 和 处 理 的 量 级 也 会 随 之 增 大 ， 与 此 同时 ， 单 个 数据 包 
能 提供 的 有 效 检测 信息 量 也 较 少 。 


国 36o 若 。 网 络 工程 师 教程 (第 5 版) 


网 络 连接 记录 来 自 于 会 话 连接 记录 , 每 一 个 连接 记录 用 一 个 特征 向 量 表示 , 相 比 于 数据 包 ， 
它 能 提供 更 多 的 入 侵 检测 信息 ， 适 合 进行 异常 检测 。 基 于 网 络 数据 源 的 入 侵 检测 可 以 发 现 许多 
基于 主机 数据 源 无 法 发 现 的 攻击 ， 同 时 由 于 是 通过 网 络 监听 的 方式 来 获取 网 络 数据 ， 因 此 对 监 
控 系 统 的 性 能 没有 影响 ， 由 于 嗅 探 器 模块 的 工作 方式 对 网 络 用 户 是 透明 的 ， 因 而 其 本 身 被 入 侵 
可 能 性 不 大 。 

检测 目标 决定 了 入 侵 检测 系统 应 该 使 用 的 数据 源 类 别 ， 例 如 ， 对 于 主机 异常 活动 的 监测 ， 
需要 使 用 主机 数据 作为 入 侵 检测 的 数据 源 ， 要 监测 网 络 中 的 攻击 ， 则 需要 采用 来 自 于 网 络 数据 
包 和 网 络 连接 的 信息 作为 分 析 数 据 源 。 


3. 入 侵 检测 系统 的 分 类 


根据 入 侵 检 测 系统 的 信息 来 源 ，IDS 可 分 为 基于 主机 的 IDS (HIDS) 、 基 于 网 络 的 IDS 以 
及 分 布 式 的 IDS (NIDS) ， 对 这 几 种 IDS 的 特点 分 析 如 下 。 

1) 基于 主机 的 入 侵 检测 系统 (HIDS) 

这 是 对 针对 主机 或 服务 器 的 入 侵 行为 进行 检测 和 响应 的 系统 。 这 是 安装 在 被 保护 的 主机 或 
者 服务 器 上 ， 用 以 保护 主机 不 受到 入 侵 攻 击 。 通 过 监视 主机 系统 中 的 审计 记录 、 进 程 调用 、 系 
统 日 志 来 完成 对 入 侵 行为 的 检测 。 

它 的 优点 是 不 需要 额外 的 硬件 ， 性 价 比 较 高 ， 检 测 更 加 细致 ， 误 报 率 比较 低 ， 适 用 于 加 密 
和 交换 的 环境 ， 对 网 络 流量 不 敏感 ， 而 且 可 以 确定 攻击 是 否 成 功 。 

它 的 缺点 也 很 明显 。 首 先 ， 由 于 HIDS 依赖 于 主机 内 建 的 日 志 与 监控 能 力 ， 而 主机 审计 信 
息 易 于 受到 攻击 ， 入 侵 者 甚至 可 设法 逃避 审计 ， 所 以 这 种 入 侵 检测 系统 的 可 靠 性 不 是 很 高 。 其 
次 ，HIDS 只 能 对 主机 的 特定 用 户 、 特 定 应 用 程序 和 日 志文 件 进行 检测 ， 所 能 检测 到 的 攻击 类 
型 受到 一 定 的 限制 。 最 后 ，HIDS 的 运行 或 多 或 少 会 影响 主机 的 性 能 , 全 面部 署 HDS 成 本 也 比 
较 大 。 

2) 网 络 入 侵 检 测 系统 (NIDS) 

这 是 针对 整个 网 络 的 入 侵 检 测 系统 , 包括 对 网 络 中 的 所 有 主机 和 交换 设备 进行 入 侵 行为 的 
监测 和 响应 ， 其 特点 是 利用 工作 在 混杂 模式 下 的 网 卡 来 实时 监听 整个 网 段 上 的 通信 业务 。 

它 的 优点 是 隐蔽 性 好 ， 不 影响 网 络 业务 流量 。 由 于 实时 检测 和 响应 ， 所 以 攻击 者 不 容易 转 
移 证 据 ， 会 留 下 蛛丝马迹 ， 并 且 能 够 检测 出 未 获 成 功 的 攻击 企图 。 

它 的 缺点 是 只 检测 直接 连接 的 网 络 段 的 通信 ， 不 能 检测 到 不 同 网 段 的 数据 包 ， 在 交换 式 以 
太 网 环境 中 会 出 现 检测 范围 的 局 限 性 。 另 外 ，NIDS 在 实时 监控 环境 下 很 难 实现 对 复杂 的 、 需 
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要 大 量 计算 与 分 析 时 间 的 攻击 的 检测 。 例 如 ， 网 络 中 的 有 些 会 话 过 程 是 经 过 加 密 的 ， 这 对 于 实 
时 工作 的 NIDS 也 难于 处 理 。 

3) 分 布 式 入 侵 检测 系统 (DIDS) 

由 分 布 在 网 络 各 个 部 分 的 多 个 协同 工作 的 部 件 组 成 ， 分 别 完成 数据 采集 、 数 据 分 析 和 入 侵 
响应 等 功能 ， 并 通过 中 央 控 制 部 件 进行 入 侵 检测 数据 的 汇总 和 数据 库 的 维护 ， 协 调 各 个 部 分 的 
工作 。 这 种 系统 比较 庞大 ， 成 本 较 高 。 

按照 入 侵 检测 系统 的 相应 方式 的 不 同 ， 可 以 将 入 侵 检测 系统 分 为 实时 检测 和 非 实 时 检测 
两 种 。 

1) 实时 检测 

也 称 为 在 线 检测 ， 它 通过 实时 对 网 络 中 的 流量 、 主 机 上 的 审计 记录 以 及 系统 日 志 、 应 用 程 
序 日 志 等 信息 进行 监测 并 分 析 ， 来 发 现 网 络 中 是 否 存 在 攻击 行为 。 在 高 速 网 络 中 ， 由 于 网 络 中 
的 数据 量 较 大 ， 这 种 检测 效率 难以 令 人 满意 ， 但 随 着 计算 机 硬件 速度 和 计算 机 性 能 的 提高 ， 对 
入 侵 行为 进行 实时 检测 和 响应 成 为 可 能 。 

2) 非 实时 检测 

也 称 为 离线 检测 ， 它 通常 是 对 一 段 时 间 内 的 被 检测 数据 进行 分 析 来 发 现 入 侵 攻 击 ， 并 做 出 
相应 的 处 理 。 非 实时 的 离线 批 处 理 方式 虽然 不 能 及 时 发 现 入 侵 攻 击 ， 但 它 可 以 运用 复杂 的 分 析 
方法 发 现 某 些 实时 方式 不 能 发 现 的 入 侵 攻 击 ， 可 一 次 分 析 大 量 事件 ， 系 统 的 成 本 更 低 。 

按照 数据 分 析 的 技术 和 处 理 方式 ,可 以 将 入 侵 检测 系统 分 为 异常 检测 、 误 用 检测 和 混合 检 
测 3 种 。 

1) 异常 检测 

异常 检测 的 基本 思想 是 ， 建 立 并 不 断 更 新 和 维护 系统 正常 行为 的 轮廓 ， 定 义 报警 阐 值 ， 对 
网 络 中 用 户 的 行为 进行 检测 ， 将 其 与 系统 正常 行为 轮廓 进行 对 比 ， 差 异 程度 超过 定义 报警 阐 值 
的 行为 ， 将 发 出 报警 。 

异常 检测 由 于 不 是 根据 攻击 的 特征 来 对 异常 行为 进行 监测 和 识别 的 ， 因 此， 异常 检测 不 仅 
对 于 已 知 的 攻击 进行 检测 ， 也 能 够 检测 出 之 前 从 未 出 现 过 的 攻击 ， 通 用 性 较 强 。 然 而 ， 从 未 出 
现 过 的 行为 并 非 都 是 入 侵 行为 ， 因 此 ， 此 种 检测 方式 可 能 会 将 监测 到 的 行为 认定 为 入 侵 行 为 ， 
从 而 发 生 误 警 的 现象 。 这 也 就 是 异常 检测 最 大 的 不 足 之 处 。 

2) 误 用 检测 

误 用 检测 是 通过 对 已 知 的 入 侵 行为 进行 特征 提取 ， 并 建立 相应 的 入 侵 模式 ， 从 而 形成 入 侵 
模式 库 ， 将 待 建 数据 与 模式 库 进 行 特征 匹配 或 者 规则 匹配 来 区 分 一 个 行为 是 否 为 入 侵 行 为 。 

然而 ， 由 于 模式 库 中 的 信息 是 对 已 知 攻击 进行 模式 提取 形成 的 ， 因 此 误 用 检测 对 于 已 知 入 
侵 行为 的 检测 准确 率 较 高 ， 漏 检 率 低 ， 这 样 对 于 入 侵 行 为 的 防护 和 报警 ， 会 较为 及 时 ， 但 是 误 
用 检测 的 做 大 缺点 在 于 ， 对 于 未 知 入 侵 的 检测 准确 率 较 低 ， 同 时 ， 误 用 检测 对 于 系统 的 依赖 性 
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较 强 ， 要 做 到 高 检 出 率 ， 需 及 时 的 对 模式 库 进行 维护 和 更 新 。 

3) 混合 检测 

所 谓 混 合 检测 就 是 对 以 上 两 种 检测 方法 进行 综合 ， 取 长 补 短 的 一 种 检测 方法 。 利 用 异常 检 
测 对 未 知 入 侵 行为 的 较 好 的 识别 ， 但 误 警 率 高 ， 而 误 用 检测 对 于 未 知 入 侵 行为 的 检 出 率 较 低 ， 
漏 警 率 高 的 特点 ， 在 对 一 个 网 络 行为 做 出 判别 之 前 ， 对 待 检 系统 的 正常 模型 和 异常 模型 均 进行 
检测 ， 以 期 达到 更 高 、 更 全 面 的 判断 。 


4. 检测 模型 的 性 能 评价 指标 


评价 一 个 入 侵 检 测 系统 的 性 能 ， 一 般 从 两 个 方面 进行 考量 ， 检 测 的 有 效 性 和 检测 的 速率 。 
其 中 , 检测 的 有 效 性 是 指 检测 结果 的 精度 和 报警 的 可 信 度 ,一般 使 用 混淆 矩阵 来 表示 。 如 表 8-1 
所 示 。 


表 8-1 入 侵 检测 系统 性 能 评估 和 矩阵 


[xi 

在 表 8-1 中 ，a 表示 一 个 实际 为 入 侵 行 为 的 检测 结果 为 入 侵 行 为 记录 的 数量 ， 表 明 检 测 的 
结果 准确 的 情况 ; 5b 表示 入 侵 行为 被 认为 是 正常 连接 记录 的 数量 ; c 表示 正常 连接 被 检测 为 入 侵 
行为 记录 的 数量 ;4 表示 正常 连接 被 检测 为 正常 连接 记录 的 数量 。 

一 般 以 以 下 几 种 指标 来 对 入 侵 检测 系统 的 性 能 进行 考量 和 评价 。 

(1) 检 出 率 ， 是 指 一 个 入 侵 行 为 被 检 出 的 数量 在 所 有 入 侵 行为 中 所 占 的 百分比 ， 使 用 以 下 


公式 计算 : 检 出 来 = 一 
(2) 虚 警 率 , 是 指 一 个 正常 连接 被 检测 为 入 侵 行为 的 数量 在 所 有 正常 连接 中 所 占 的 百分比 ， 


实际 情况 


使 用 以 下 公式 计算 : 虚 敬 率 = 一 。 

(3) 漏 警 率 , 是 指 一 个 入 侵 行为 被 检测 为 正常 连接 的 数量 在 所 有 入 侵 行为 中 所 占 的 百分比 ， 
使 用 以 下 公式 计算 : 漏 千 率 = 一 。 

(4) 查 准 率 ， 指 在 被 检测 为 入 侵 攻击 记录 总 数 中 实际 为 入 侵 攻 山 记录 所 占 的 百分比 ， 使 用 
以 下 公式 计算 : 查 准 率 = 一 一 。 


(5) 查 全 率 , 指 入 侵 攻 击 记录 被 正确 检测 为 入 侵 攻击 的 数量 山 入 侵 攻击 总 记录 数 的 百分比 ， 
意味 着 在 所 有 的 入 侵 攻击 中 ， 有 多 大 的 可 能 性 能 被 检测 识别 出 来 ， 使 用 以 下 公式 计算 : 
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a 


查 全 率 = 一 。 
(6) 准确 率 ， 对 网 络 行为 正确 分 类 所 占 的 百分比 来 衡量 ,为 检测 类 别 正确 的 记录 数 占 参与 


检测 的 总 记录 数 的 百分比 ， 准 确 率 = 一 0+ 一， 
a+D+c+d 


8.13.2 ”人 侵 检 测 技术 
目前 ， 入 侵 检 测 技术 分 为 异常 检测 和 误 用 检测 两 种 。 
1. 异常 检测 


是 将 网 络 行为 分 为 正常 的 网 络 连接 和 异常 网 络 活动 两 种 ,而 异常 检测 是 把 入 侵 行为 看 作 是 
异常 活动 的 一 个 子 集 ， 通 过 监测 网 络 用 户 在 网 络 上 的 行为 的 特征 来 判断 是 否 遭 到 了 入 侵 。 基 于 
异常 检测 常用 的 检测 方法 有 以 下 几 种 。 

1) 基于 统计 的 异常 检测 方法 

基于 统计 的 入 侵 检测 方法 是 通过 对 已 知 用 户 行为 的 统计 ， 建 立 用 户 行为 模型 数据 库 ， 并 依 
据 用 户 行为 模型 数据 库 , 对 网 络 中 用 户 的 行为 进行 比 对 , 以 判断 一 个 网 络 行为 是 否 为 入 侵 行 为 。 

2) 基于 聚 类 分 析 的 异常 检测 方法 

聚 类 方法 是 指 将 数据 中 不 同类 别 的 数据 进行 集合 ， 由 于 在 集合 中 的 成 员 具 有 较为 类 似 特 
征 ， 所 以 可 以 以 此 区 分 异常 用 户 类 ， 从 而 推断 并 检测 网 络 入 侵 行为 。 

3) 基于 神经 网 络 的 异常 检测 方法 

神经 网 络 是 有 大 量 信息 处 理 单元 组 成 ， 实 现 复杂 的 映射 方程 函数 ， 通 过 对 多 个 输入 信息 的 
处 理 仅 产生 一 个 输出 ， 是 一 种 模拟 人 脑 在 对 信息 的 存储 、 处 理 和 加 工 过 程 中 的 方式 。 对 数据 信 
息 具 有 识别 、 分 类 和 归纳 的 能 力 。 因 此 ， 基 于 神经 网 络 的 入 侵 检测 系统 可 以 适应 用 户 行为 特征 
的 复杂 多 变性 ， 从 而 能 够 从 检测 出 的 数据 的 分 析 中 ， 确 定 是 否 存在 入 侵 行为 。 

用 户 入 侵 检测 系统 的 用 户 行为 模式 特征 数据 库 ， 也 可 通过 神经 网 络 来 提取 和 建立 。 


2. 误 用 检测 


误 用 检测 技术 的 研究 从 20 世纪 90 年 代 中 期 就 开始 了 。 它 首先 对 已 知 的 入 侵 行 为 的 特征 进 
行 编码 ， 用 已 建立 入 侵 行为 的 特征 数据 库 ， 在 对 入 侵 检 测 过 程 中 得 到 的 待 测 数据 中 的 特征 进行 
分 析 ， 如 能 够 与 特征 数据 库 中 的 特征 匹配 ， 则 判定 为 入 侵 行 为 。 

1) 专家 系统 检测 法 

专家 系统 是 应 用 较为 广泛 的 误 用 检测 方法 , 例如 IDES、MIDAS、NIDES 和 CMDS 等 入 侵 
检测 系统 均 使 用 的 专家 系统 。 专 家 系统 是 将 已 知 的 入 侵 攻 击 行为 模式 进行 存储 ， 形 成 专家 知识 
库 ， 系 统 根据 该 知识 库 中 存储 的 模式 来 判断 一 个 网 络 行为 是 否 是 入 侵 攻 击 行为 。 
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2) 模式 匹配 检测 法 

模式 匹配 是 最 为 常见 的 一 种 误 用 检测 方法 ， 其 具有 检测 的 准确 率 高 等 特点 。 模 式 匹配 主要 
通过 对 网 络 中 的 数据 包 以 及 在 待 检 数 据 信 息 中 搜索 和 匹配 入 侵 特征 的 字符 或 字符 串 ， 来 判断 一 
个 网 络 行为 是 否 是 非法 攻击 行为 。 著 名 的 Snort 入 侵 检测 系统 就 是 采用 模式 匹配 技术 来 实现 入 
侵 检测 的 。 
8.13.3 ”人 侵 检测 技术 的 发 展 

入 侵 检测 技术 的 发 展 方向 包括 以 下 几 点 。 

1 分 布 式 入 侵 检测 


入 侵 检测 系统 的 架构 基本 上 包括 了 主机 及 网 络 型 ， 还 有 分 布 型 等 类 型 。 其 中 ， 主 机 型 入 侵 
检测 系统 和 网 络 型 入 侵 检测 系统 ， 皆 隶属 于 集中 式 的 系统 架构 。 从 入 侵 检测 面临 的 种 种 不 良 现 
象 发 现 ， 这 类 系统 已 经 被 网 络 系统 的 大 型 化 和 负责 话 逐 渐 淘 汰 ， 而 向 着 分 布 式 方向 发 展 。 


2. 智能 入 侵 检测 


伴随 着 当今 网 络 技术 的 不 断 发 展 ， 网 络 上 的 信息 量 也 在 逐渐 的 以 指数 级 递增 ， 这 就 要 求 入 
侵 检测 系统 能 够 具备 对 于 海量 数据 的 计算 能 力 ， 从 而 提高 性 能 、 降 低 成 本 的 智能 检测 算法 逐渐 
成 为 了 入 侵 检测 领域 研究 的 热点 。 由 于 入 侵 方 式 逐 步 的 趋 于 多 样 性 、 综 合 性 ， 研 究 人 员 已 将 智 
能 化 、 神 将 网 络 与 遗传 算法 等 应 用 到 入 侵 检 测 的 技术 中 ， 以 期 寻找 到 智能 化 的 、 具 有 自学 能 力 
和 自 适应 能 力 的 入 侵 检测 系统 。 


8.14 ”入 侵 防 御 系 统 


在 网 络 安全 领域 ， 入 侵 防御 系统 Intrusion Prevention System，IPS) 是 随 着 网 络 的 高 速 发 
展 而 产生 的 。IPS 是 在 入 侵 检 测 系统 (Intrusion Detection System，IDS) 的 基础 之 上 发 展 起 来 
的 ， 它 不 仅 具 有 入 侵 检 测 系统 检测 攻击 行为 的 能 力 ， 而 且 具 有 防火 墙 拦截 攻击 并 且 阻 断 攻 击 的 
功能 ， 但 是 IPS 并 不 是 IDS 的 功能 与 防火 墙 功 能 的 简单 组 合 ，IPS 在 攻击 响应 上 采取 的 是 主 
动 的 全 面 的 深层 次 的 防御 。 


8.14.1 人 侵 防 御 系 统 的 概念 


随 着 市 场 的 需求 的 变化 和 应 用 领域 的 不 同 ， 入 侵 防御 系统 在 具体 的 功能 实现 方面 ， 不 同 的 
系统 具有 不 同 的 特征 ， 但 是 其 核心 功能 是 检测 与 防御 。 目 前 对 入 侵 防御 系统 的 定义 也 是 多 种 多 
样 的 ， 一 种 定义 是 : 入 侵 防 御 系 统 是 一 种 抢先 的 网 络 安全 检测 和 防御 系统 ， 它 能 检测 出 攻击 并 


第 8 章 网 络 安全 。 355B 


快速 做 出 回应 。 还 有 一 种 对 IPS 的 定义 : IPS 是 一 种 能 够 检测 出 网 络 攻击 ， 并 且 在 检测 到 攻击 
后 能 够 积极 主动 响应 攻击 的 软 硬 件 网 络 系统 。 


8.14.2 ”入侵 防御 系统 与 人 侵 检 测 系统 的 区 别 


入 侵 检测 系统 有 效 地 弥补 了 防火 墙 系统 ， 对 网 络 上 的 入 侵 行为 无 法 识别 和 检测 的 不 足 ， 入 
侵 检测 系统 的 部 署 ， 使 得 在 网 络 上 的 入 侵 行 为 得 到 了 较 好 的 检测 和 识别 ， 并 能 够 进行 及 时 的 报 
警 。 然 而 ， 随 着 网 络 技术 的 不 断 发 展 ， 网 络 攻 击 类 型 和 方式 也 在 进行 着 巨大 的 变化 ， 入 侵 检 测 
系统 也 逐渐 的 暴露 出 如 漏 报 、 误 报 率 高 、 灵 活性 差 和 入 侵 响 应 能 力 较 弱 等 不 足 之 处 。 

入 侵 防御 系统 是 在 入 侵 检测 系统 的 基础 上 发 展 起 来 的 ， 入 侵 防御 系统 不 仅 能 够 检测 到 网 络 
中 的 攻击 行为 ， 同 时 主动 的 对 攻击 行为 能 够 发 出 响应 ， 对 攻击 进行 防御 。 两 者 相 较 ， 主 要 存在 
以 下 几 种 区 别 。 


1. 在 网 络 中 的 部 署 位 置 的 不 同 


IPS 一 般 是 作为 一 种 网 络 设备 串 接 在 网 络 中 的 ， 而 IDS 一 般 是 采用 旁 路 挂 接 的 方式 ， 连 接 
在 网 络 中 。 


2. 入 侵 响 应 能 力 的 不 同 


IDS 设备 对 于 网 络 中 的 入 侵 行为 ， 往 往 是 采用 将 入 侵 行为 记 入 日 志 ， 并 向 网 络 管理 员 发 出 
警报 的 方式 来 处 理 的 ， 对 于 入 侵 行为 并 无 主动 的 采取 对 应 措施 ， 响 应 方式 单一 ， 而 入 侵 防 御 系 
统 检测 到 入 侵 行为 后 ， 能 够 对 攻击 行为 进行 主动 的 防御 ， 例 如 丢弃 攻击 连接 的 数据 包 以 阻 断 攻 
击 会 话 ， 主 动 发 送 ICMP 不 可 到 达 数据 包 、 记 录 日 志和 动态 的 生成 防御 规则 等 多 种 方式 对 攻击 
行为 进行 防御 。 

8.14.3 1IPS 的 优势 与 局 限 性 


与 IDS 系统 相 比 较 ，IPS 具有 其 自身 的 特点 ， 其 优点 主要 表现 在 以 下 几 个 方面 。 

(1) 积极 主动 的 防御 攻击 。IPS 一 方面 能 够 对 攻击 行为 进行 检测 并 发 现 ， 同 时 对 攻击 行为 
采取 主动 的 防御 措施 。 

(2) 具有 较 深 的 防御 层次 。IPS 能 够 采取 多 种 方式 对 于 网 络 攻击 采取 防御 措施 ， 对 已 知 攻 
击 和 未 知 攻 击 均 具 有 较 强 的 检 出 率 ， 并 对 网 络 攻击 流量 和 网 络 入 侵 活动 进行 拦截 ， 通 过 重新 构 
建 协议 栈 和 对 数据 进行 重组 ， 发 现 隐 藏 在 多 个 数据 包 中 的 攻击 特征 ， 利 用 数据 挖掘 技术 ， 对 多 
个 数据 包 中 的 内 容 进行 分 析 、 鉴 别 ， 从 而 检测 出 深层 次 的 攻击 。 

其 不 足 之 处 主要 表现 在 以 下 几 个 方面 。 

(1) 容易 造成 单 点 故障 。IPS 设备 一 般 是 采用 串 接 的 方式 接 入 网 络 中 的 ， 如 果 IPS 设备 出 


图 366 若 。 网 络 工程 所 教程 (第 5 版 ) 


现 故 障 ， 对 网 络 的 可 用 性 将 会 造成 较 大 的 影响 ; 

(2) 漏 报 和 误 报 。 由 于 网 络 技术 的 不 断 发 展 、 网 络 攻击 形式 的 不 断 进化 和 改进 ， 其 隐蔽 性 
逐渐 提高 ， 而 对 于 入 侵 检测 系统 和 入 侵 防 御 系 统 均 面 临 着 在 入 侵 行 为 监测 中 的 漏 报 率 和 误 报 率 
较 高 的 情况 。 

(3) 性 能 瓶颈 。IPS 设备 传 接 在 网 络 环境 中 ， 需 要 对 实时 捕获 到 的 网 络 数据 流量 进行 分 析 
和 检测 ， 以 确定 是 否 为 攻击 数据 流量 和 连接 ， 这 样 的 现实 情况 ， 对 IPS 的 性 能 就 提出 了 较 高 的 
要 求 ，IPS 处 理 能 力 有 限 ， 就 会 对 网 络 性 能 和 网 络 监测 的 效率 产生 较 大 影响 ， 从 而 造成 网 络 拥 
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网 络 操作 系统 是 使 网 络 上 的 计算 机 能 方便 而 有 效 地 共享 网 络 资源 ,为 网 络 有 用户 提供 所 需 的 
各 种 服务 的 软件 和 有 关 规 程 的 集合 。 本 章 以 流行 的 网 络 操作 系统 Windows 和 Linux 为 例 ， 讲 述 
网 络 操作 系统 的 功能 以 及 应 用 服务 器 的 配置 。 


9.1 网 络 操作 系统 


9.1.1 Windows Server 2008 R2 操作 系统 


Windows Server 2008 是 专 为 强化 下 一 代 网 络 、 应 用 程序 和 Web 服务 的 功能 而 设计 的 操作 
系统 ，Windows Server 2008 R2 是 Windows Server 2008 的 升级 版 本 。 这 个 版 本 继续 提升 了 虚拟 
化 、 系 统管 理 弹性 以 及 信息 安全 等 领域 的 应 用 ， 是 一 款 仅 支持 64 位 的 操作 系统 ， 可 以 为 大 、 
中 或 小 型 企业 搭建 功能 强大 的 网 站 和 应 用 程序 服务 器 平台 。 

Windows Server 2008 R2 增强 了 核心 Windows Server 操作 系统 的 功能 ， 提 供 了 富有 价值 的 
新 功能 ， 以 协助 各 种 规模 的 企业 提高 控制 能 力 、 可 用 性 和 灵活 性 ， 适 应 不 断 变化 的 业务 需求 。 
新 的 Web 工具 、 虚 拟 化 技术 、 可 伸缩 性 增强 和 管理 工具 有 助 于 节省 时 间 、 降 低 成 本 ， 并 为 您 的 
信息 技术 〈IT) 基础 结构 黄 定 坚实 的 基础 。 其 新 增 功能 如 下 。 

(1) Web 应 用 程序 平台 。Windows Server 2008 R2 包含 了 许多 增强 功能 ， 从 而 使 该 版 本 成 
为 有 史 以 来 最 可 靠 的 Windows Server Web 应 用 程序 平台 。 该 版 本 提供 了 最 新 的 Web 服务 器 角 
色 和 Intemet 信息 服务 (IIS) 7.5 版 ， 并 在 服务 器 核心 提供 了 对 .NET 更 强大 的 支持 。IIS 7.5 的 
设计 目标 着 重 于 功能 改进 , 使 网 络 工程 师 可 以 更 轻松 地 部 署 和 管理 Web 应 用 程序 ， 以 增强 可 靠 
性 和 可 伸缩 性 。 另 外 ，IIS 7.5 简化 了 管理 功能 ， 并 为 自 定义 Web 服务 环境 提供 了 比 以 往 更 多 的 
方法 。IIS 7.5 在 以 下 4 个 方面 进行 了 改进 。 

@ 集成 扩展 。IIS 7.5 中 集成 了 WebDAV， 为 Web 服务 器 管理 员 提供 了 更 多 用 于 身份 验 
证 、 审 核 和 日 志 记录 的 选项 。 集 成 了 请 求 筛选 模块 〈 以 前 是 IS 7 的 扩展 ) 使 您 可 以 限制 或 阻 
止 特定 的 HTTP 请 求 ， 从 而 有 助 于 防止 可 能 有 害 的 请 求 到 达 服务 器 。 集 成 了 IIS Administration 
了 Pack 扩展 , 让 管理 可 视 化 而 且 更 加 集中 , 界面 更 加 友好 , 可 以 在 IS 管理 器 配置 编辑 器 和 UI 扩 
展 ， 可 帮助 管理 请 求 筛选 规则 、FastCGI 和 ASPNET 应 用 程序 设置 。 

@ 增强 管理 ， 提 供 了 最 佳 做 法 分 析 器 (BPA)、 用 于 Windows Power Shell 的 IS 模块 、 
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配置 日 志 记 录 和 跟踪 等 新 的 管理 工具 和 模块 。 最 佳 做 法 分 析 器 (BPA) 是 一 种 管理 工具 ， 使 用 
服务 器 管理 器 和 Windows PowerShell 可 以 访问 这 种 工具 。 通 过 扫描 IIS 7.5 Web 服务 器 并 在 发 
现 潜在 的 配置 问题 时 进行 报告 , BPA 可 以 帮助 管理 员 减 少 违背 最 佳 做 法 的 情况 。 用 于 Windows 
PowerShell 的 IIS 模块 是 一 个 Windows PowerShell 管理 单元 , 该 管理 单元 使 您 可 以 执行 IIS7 
管理 任务 ， 还 可 以 管理 IS 配置 和 运行 时 数据 。 此 外 ， 一 批 面向 任务 的 cmdlet 可 以 提供 管理 
网 站 、Web 应 用 程序 和 Web 服务 器 的 简单 方法 。 配置 日 志 记 录 和 跟踪 使 您 可 以 审核 对 IS 配 
署 的 访问 权限 ， 可 以 启用 事件 查看 器 中 可 用 的 任何 新 日 志 来 跟踪 成 功 或 失败 的 修改 。 

@ 应 用 程序 承载 增强 。IHS 7.5 是 一 种 更 加 灵活 和 可 管理 的 平台 ， 适 用 于 许多 类 型 的 Web 
应 用 程序 (如 ASPNET 和 PHP)， 它 提供 服务 强化 、 托 管 服务 账户 、 可 承载 Web 核心 、 用 
于 FastCGI 的 失败 请 求 跟踪 等 多 种 新 功能 ， 提 高 安全 性 和 改进 诊断 。 

@ 增强 了 对 服务 器 核心 的 .NET 支持 。Windows Server 2008 R2 的 服务 器 核心 安装 选项 
支持 .NET Framework 2.0、3.0、3.5.1 和 4.0。 这 表示 您 可 以 承载 ASPNET 应 用 程序 ， 可 以 在 
IS 管理 器 中 执行 远程 管理 任务 ， 还 可 以 在 本 地 运行 用 于 Windows PowerShell 的 IS 模块 中 
包含 的 cmdlet。 

需要 指出 的 是 ，IIS 7.5 在 默认 情况 下 并 不 会 被 安装 在 Windows Server 2008 R2 上 ， 这 需要 
管理 员 手 动 进行 安装 。 IIS 7.5 服务 器 界面 如 图 9-1 所 示 。 
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图 9-1 IIS 7.5 服务 器 界面 

(2) 启用 服务 器 和 桌面 虚拟 化 一 一 Hyper-V。 虚 拟 化 是 当今 数据 中 心 的 主要 业务 之 一 ， 虚 
拟 化 所 提供 的 操作 便利 性 允许 组 织 动态 的 减少 操作 任务 以 及 能 源 消耗 。Hyper-V 提 供 了 客户 端 
虚拟 化 和 服务 器 端 虚拟 化 ， 主 要 功能 是 将 物理 计算 机 的 系统 资源 进行 虚拟 化 ， 计 算 机 虚拟 化 使 
用 户 能 为 操作 系统 和 应 用 提供 虚拟 化 的 环境 。HyperV 默 认 情 况 下 并 不 会 被 安装 在 Windows 
Server 2008 R2 上 ， 需 要 管理 员 手动 进行 安装 。HyperV 虚 拟 机 界面 如 图 9-2 所 示 。 
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(3) 可 靠 性 和 扩展 性 。Windows Server 2008 R2 拥 有 空前 的 负载 量 、 动 态 的 扩展 性 、 全 面 
的 可 用 性 和 可 靠 性 。 具 体 包括 如 下 。 

Q@ 精密 的 动态 CPU 调节 架构 : Windows Server 2008 R2 是 第 一 款 仅 支持 64 位 的 Windows 操 
作 系 统 。 一 方面 用 户 越 来 越 难 买 到 纯 32 位 的 服务 器 处 理 器 ， 另 一 方面 迁移 到 64 位 架构 可 以 在 性 
能 和 可 靠 性 方面 获得 了 大 量 的 受益 。 另 外 , 现在 Windows Server 2008 R2 在 一 个 操作 系统 实例 中 
可 以 支持 多 达 256 个 逻辑 处 理 器 核心 。Hyper-V 虚 拟 机 可 以 最 多 使 用 主机 处 理 器 池 中 的 64 个 迪 辑 
处 理 器 。Hyper-V R2 包含 一 项 新 功能 叫 作 处 理 器 兼容 功能 。 处 理 器 兼容 功能 允许 用 户 在 同一 
处 理 器 供应 商 的 前 后 多 代 处 理 器 间 移 动 。 当 虚拟 机 启动 的 时 候 开启 了 处 理 器 兼容 功能 , Hyper-V 
将 会 标准 化 处 理 器 特性 集 ， 只 暴露 给 客户 端 在 同一 处 理 器 架构 下 所 有 可 用 于 Hyper-V 的 处 理 器 
都 可 使 用 的 特性 ， 比 如 来 自 AMD 和 Intel 的 处 理 器 产品 。 这 项 功能 使 得 虚拟 机 可 以 在 同一 处 理 器 
架构 下 的 任意 硬件 平台 上 进行 迁移 。 这 项 功能 的 实现 是 依靠 Hypervisor 来 截断 虚拟 机 CPUID 指 
令 ， 并 清除 返回 的 通讯 字段 来 实现 将 物理 处 理 器 特性 进行 隐藏 。 

@ 增强 的 操作 系统 组 件 化 : Microsoft 引 入 服务 器 角色 概念 的 目的 就 是 让 服务 器 管理 员 可 
以 迅速 而 且 简单 的 在 任何 Windows 操 作 系统 服务 器 上 进行 操作 。 管 理 员 可 以 运行 一 个 指定 任务 
集 ， 从 系统 中 完全 移 除 掉 那 些 无 用 的 系统 代码 。Windows Server 2008 R2 的 特性 扩展 了 这 个 模 
式 使 之 支持 更 多 的 服务 器 角色 ， 并 且 扩 展 了 现 有 服务 器 角色 的 支持 。 

@ 应 用 和 服务 增强 的 性 能 和 扩展 性 : Windows Server 2008 R2 的 一 个 关键 设计 目标 就 是 在 
相同 的 系统 资源 下 ， 可 以 获得 比 早期 Windows Server 版 本 更 好 的 性 能 。 另 外 ，Windows Server 
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2008 R2 大 大 增加 的 性 能 , 使 得 用 户 可 以 比 以 前 任何 时 候 接受 更 大 的 工作 负载 , 同时 为 应 用 和 服 
务 带 来 了 性 能 和 扩展 性 的 增强 。 

@ 增强 的 存储 解决 方案 : 在 今天 ， 更 快 获取 信息 的 能 力 比 以 往 显 得 尤为 重要 。 这 些 高 速 
访问 的 基础 是 建立 在 文件 服务 和 网 络 连接 存储 (NAS) 上 的 。Microsoft 存 储 解决 方案 是 提供 文 
件 服务 和 NAS 的 最 佳 性 能 和 最 优 可 用 性 的 核心 一 环 。 已 经 发 布 的 Windows Server 2008 引 入 了 很 
多 对 存储 技术 的 改进 。Windows Server 2008 R2 再 度 对 存储 解决 方案 的 性 能 ， 可 用 性 ， 可 管理 
性 提供 的 改进 。 

@ 增强 的 企业 内 网 资源 保护 : 网 络 策略 服务 器 (NPS) 是 电话 拨号 用 户 服务 协议 服务 器 
(RADIUS) ， 代 理 服务 器 和 网 络 访问 保护 (NAP) 健康 策略 服务 器 的 集合 。NPS 为 NAP 客 户 端 
验证 系统 健康 度 ， 提 供 RADIUS 验 证 ， 授 权 和 记录 (AAA) ， 并 提供 RADIUS 代理 功能 。 

(4) 管理 增强 。 针 对 数据 中 心 内 的 服务 器 提供 持续 的 管理 是 当今 IT 管理 员 所 面 对 的 最 为 耗 
时 的 任务 。 用 户 部 署 的 任何 管理 策略 都 必须 同时 支持 用 户 的 物理 和 虚拟 化 环境 的 管理 。 Windows 
Server 2008 R2 的 一 个 设计 目标 就 是 减少 针对 Windows Server 2008 R2 的 持续 管理 以 及 减少 日 常 
操作 任务 的 管理 负担 。 这 些 管理 任务 可 以 在 服务 器 本 地 或 者 远程 执行 ， 具 体 包 括 如 下 。 

@ 增强 的 数据 中 心 电 源 消耗 管理 : 数据 中 心 内 的 物理 计算 机 的 增加 是 电源 消耗 增加 的 主 
要 原因 ， 很 多 数据 中 心 不 得 不 根据 其 数据 中 心 可 用 的 实际 电力 功 耗 来 限制 放置 在 该 数据 中 心里 
面 的 电脑 数量 ， 这 使 得 减少 计算 机 的 电源 消耗 可 以 为 数据 中 心 节约 费用 。 换 而 言 之 ,减少 了 能 
源 消耗 ， 使 得 数据 中 心 在 相同 甚至 比 以 前 更 少 的 能 源 消耗 下 ， 却 可 以 容纳 更 多 的 物理 计算 机 。 

@ 增强 的 文件 服务 管理 : 管理 存储 不 仅仅 是 简单 的 卷 和 可 用 性 ， 需 要 更 高 效 、 更 有 效 的 
对 他 们 的 数据 进行 管理 。Windows Server 2008 R2 所 提供 的 Windows 文件 系统 分 类 架构 (FCI) 
深刻 洞察 用 户 的 数据 ， 并 可 帮助 用 户 实现 管理 数据 更 有 效 ， 更 少 花费 ， 更 少 风险 。 

@ 增强 的 身份 管理 : 身份 管理 始终 是 以 Windows 为 基础 的 网 络 中 一 项 最 严峻 的 管理 任务 。 
对 于 任何 组 织 来 说 ， 一 个 管理 不 善 的 身份 管理 系统 ， 也 意味 着 一 个 最 大 的 安全 隐患 。Windows 
Server 2008 R2 增强 了 活动 目录 域 服务 和 活动 目录 联盟 服务 这 两 个 服务 器 角色 。 


9.1.2 ”Linux 操作 系统 简介 


Linux 是 一 个 支持 多 用 户 、 多 任务 、 多 进程 和 实时 性 较 好 的 功能 强大 而 稳定 的 操作 系统 ， 
也 是 目前 运行 硬件 平台 最 广泛 的 操作 系统 。Linux 最 大 的 特点 在 于 它 是 GNU 的 一 员 , 遵循 公共 
版 权 许可 证 (GPL) 及 开放 源 代码 的 原则 ， 从 而 使 其 成 为 发 展 最 快 、 拥 有 用 户 最 多 的 操作 系统 
六 二 

Red Hat Linux 是 目前 世界 上 使 用 最 多 的 Linux 操作 系统 家 族 成 员 ， 提 供 了 丰富 的 软件 包 ， 
具有 强大 的 网 络 服务 和 管理 功能 。Red Hat Enterprise Linux 7 是 Red Hat Linux 的 一 个 最 新 版 本 ， 
内 核 为 Kemel3.10， 它 在 原 有 的 基础 上 有 了 很 大 的 改进 ， 集 成 了 应 用 程序 虚拟 化 技术 Docker， 


第 9 章 网 络 操 作 系统 与 应 用 服务 器 “ 国 371 苦 


对 systemd 进程 管理 器 的 支持 , XFS 成 为 RHEL 默认 的 文件 系统 以 及 能 监控 系统 PCP 等 新 功能 
特性 ， 使 之 较 RHEL 6 在 功能 和 性 能 方面 有 很 大 提升 。 


9.2 ”网络 操作 系统 的 基本 配置 


9.2.1 Windows Server 2008 R2 本 地 用 户 与 组 


为 了 保障 计算 机 与 网 络 的 安全 ，Windows Server 2008 R2 为 不 同 的 用 户 设置 了 不 同 的 权限 ， 
同时 通过 将 具有 同一 权限 的 用 户 设置 为 一 个 组 来 简化 对 用 户 的 管理 。 使 用 “本 地 用 户 和 组 ” 功 
可 创建 并 管理 存储 在 本 地 计算 机 上 的 用 户 和 组 。 每 一 个 登录 到 NT Server 上 的 用 户 必须 有 一 
个 用 户 账号 (User Account)。 用 户 账号 包含 用 户 名 、 密 码 、 用 户 的 说 明和 用 户 权 限 等 信息 ， 通 
常 将 具有 相同 性 质 的 用 户 归结 在 一 起 ， 统 一 授权 , 组 成 用 户 组 (Group )。 用 户 组 的 权限 如 表 9-1 


所 示 。 
名 称 
Administrators 
Backup Operators 


Certificate Service DCOM Access 
Cryptographic Operators 
Distributed COM Users 

Event Log Readers 


Guests 


IIS IUSRS 
Network Configuration Operators 


表 9-1 用 户 组 权限 描述 


权限 描述 
管理 员 对 计算 机 / 域 有 不 受 限制 的 完全 访问 权 
备份 操作 员 为 了 备份 或 还 原文 件 可 以 替代 安全 限制 
允许 该 组 的 成 员 连 接 到 企业 中 的 证 书 颁发 机 构 
授权 成 员 执 行 加 密 操 作 
成 员 允 许 启动 、 激 活 和 使 用 此 计算 机 上 的 分 布 式 COM 对 象 
比 组 的 成 员 可 以 从 本 地 计算 机 中 读 取 事 件 日 志 
按 默认 值 ， 来 宾 和 用 户 组 的 成 员 有 同等 访问 权 ， 但 来 宾 账户 的 
限制 更 多 
Internet 信息 服务 使 用 的 内 置 组 
比 组 中 的 成 员 有 部 分 管理 权限 来 管理 网 络 功能 的 配置 


了 Performance Log Users 


比 组 的 成 员 可 以 远程 访问 此 计算 机 上 性 能 计数 器 的 日 志 


了 Performance Monitor Users 


比 组 的 成 员 可 以 远程 访问 以 监视 此 计算 机 


了 Power Users 


高 级 用 户 (Power Users) 拥有 大 部 分 管理 权限 ， 但 也 有 限制 。 
此 , 高 级 用 户 (Power Users ) 可 以 运行 经 过 验证 的 应 用 程序 ， 
也 可 以 运行 旧版 应 用 程序 


Print Operators 成 员 可 以 管理 域 打印 机 

Remote Desktop Users 组 中 的 成 员 被 授予 远程 登录 的 权限 

Replicator 支持 域 中 的 文件 复制 

人 用 户 无 法 进行 有 意 或 无 意 的 改动 。 因 此 ， 用 户 可 以 运行 经 过 验 


证 的 应 用 程序 ， 但 不 可 以 运行 大 多 数 旧版 应 用 程序 
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Windows Server 2008 R2 本 地 用 户 与 组 的 创建 比较 简单 ， 选 择 “ 开 始 ” 一 “程序 ”一 “ 管 
理工 具 ” 一 “计算 机 管理 ”命令 ， 在 打开 的 窗口 选择 “本 地 用 户 和 组 ” 即 可 创建 并 管理 存储 在 
本 地 计算 机 上 的 用 户 和 组 。 


9.2.2 ”Windows Server 2008 R2 活动 目录 


自 Windows Server 2003 开始 , 放弃 了 NT 中 的 域 管理 方式 , 采用 目录 管理 技术 一 一 活动 目 
录 服 务 (Active Directory Service)。Windows Server 2008 R2 系统 沿用 活动 目录 服务 ， 活 动 目录 
采用 基于 LDAP 格式 的 系统 设计 ， 通 过 建立 层次 化 的 目录 结构 对 网 络 资源 进行 集中 管理 ， 大 大 
提高 了 系统 的 可 靠 性 和 易 用 性 。 


1. 活动 目录 的 基本 概念 


目录 是 任何 文件 系统 中 都 具有 的 功能 。 在 一 般 操 作 系统 中 ， 目 录 是 静态 的 、 集 中 存储 在 磁 
盘 中 的 系统 /用 户 信 息 。 活 动 目录 (Active Directory) 是 一 个 动态 的 分 布 式 文件 系统 ， 包 含 了 存 
储 网 络 信息 的 目录 结构 和 相关 的 目录 服务 。 活 动 目录 的 各 个 子 树 分 布地 存储 在 网 络 的 多 个 服务 
器 中 ， 并 且 可 以 自动 维护 信息 的 一 致 性 。 

活动 目录 存储 着 计算 机 网 络 的 配置 信息 和 安全 信息 , 这 些 信息 分 散 地 存储 在 网 络 中 的 多 个 
域 控 制 器 中 ， 由 多 个 网 络 管理 员 进 行 管理 和 维护 ， 操 作 系 统 对 活动 目录 中 的 信息 提供 备份 和 选 
择 性 的 复制 功能 ， 以 维护 信息 的 一 致 性 ， 并 提供 容错 能 力 。 

在 活动 目录 中 ， 对 象 的 名 字 采 用 DNS 域名 结构 ， 所 以 安装 活动 目录 需要 DNS 服务 器 的 支 
持 。 在 一 个 面向 对 象 的 树 型 目录 结构 中 ， 所 有 叶子 结 点 都 是 资源 对 象 ， 树 根 结 点 和 中 间 结 点 都 
是 容器 对 象 。 一 组 对 象 的 名 字 及 其 相关 信息 的 集合 构成 了 名 字 空 间 ， 名 字 空 间 是 进行 域名 解析 
的 边界 。 

全 局 目录 (Global Catalog) 是 包含 所 有 对 象 属性 信息 的 仓库 ， 活 动 目录 中 的 第 一 个 域 控制 
器 自动 成 为 全 局 目录 ， 为 了 加 速 登录 过 程 和 减少 通信 流量 ， 还 可 以 设置 另外 的 全 局 目录 。 

架构 (Schema) 是 活动 目录 中 的 对 象 模型 。 架 构 包 含 了 存储 在 活动 目录 中 的 所 有 对 象 的 定 
义 ， 也 决定 了 活动 目录 的 结构 及 其 存储 的 内 容 。 架 构 由 类 、 属 性 和 句法 的 集合 组 成 。 用 户 、 计 
算 机 和 打印 队列 都 是 活动 目录 中 的 类 的 例子 ， 用 户 账 号 Sue 和 Mary 则 是 用 户 类 的 实例 。 对 象 
Mary 可 以 包含 一 个 叫 作 电话 号 码 的 属性 ， 其 值 可 能 是 555-0101， 它 的 数据 类 型 (句法 ) 为 字 
符 串 类 型 或 者 数值 类 型 。 

架构 建立 的 对 象 模型 支持 轻型 目录 访问 协议 (Light Directory Access Protocol，LDAP)， 安 
装 了 活动 目录 客户 组 件 的 计算 机 通过 LDAPv3 访问 活动 目录 。 
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2. 活动 目录 的 逻辑 结构 


活动 目录 的 逻辑 结构 用 来 组 织 网 络 资源 。 域 是 活动 目录 的 核心 单元 ， 是 共享 同一 活动 目录 
的 一 组 计算 机 的 集合 。 域 是 安全 的 边界 ， 在 默认 情况 下 ， 一 个 域 的 管理 员 只 能 管理 自己 的 域 。 
一 个 域 的 管理 员 要 管理 其 他 的 域 ， 则 需要 专门 的 授权 。 域 也 是 复制 的 单位 ， 一 个 域 可 以 包含 多 
个 域 控制 器 ， 当 某 个 域 控制 器 的 活动 目录 数据 库 改变 以 后 ， 变 化 的 部 分 会 自动 复制 到 其 他 域 控 
制 器 中 。 

域 树 (Domain Tree) 是 域 的 集合 。 域 树 中 加 入 的 第 一 个 域 是 树 根 (root)， 其 后 加 入 的 每 一 
个 域 都 是 树 中 的 子 域 。 域 树 的 层次 越 深 ， 级 别 就 越 低 ， 一 个 句号 “.” 代 表 一 个 层次 。 域 树 中 的 
每 个 域 都 拥有 自己 的 目录 服务 数据 库 副 本 ， 用 来 保存 本 域 中 的 局 部 对 象 ， 所 有 的 子 域 共享 根 域 
的 共同 配置 和 全 局 目录 。 具 有 公用 根 域 的 所 有 域 构成 一 个 连续 的 名 字 空 间 ， 域 树 上 的 所 有 域 共 
享 相同 的 DNS 后 级 。 

域 林 (Domain Forest) 是 域 树 的 集合 ， 以 信任 关系 互相 联系 ， 共 享 一 个 公共 的 目录 模式 、 
配置 数据 和 全 局 目录 。 域 林 中 的 每 一 个 域 树 具有 独立 的 名 字 空 间 。 在 域 林 中 创建 的 第 一 个 域 树 
被 默认 为 根 树 (root tree)。 通 过 域 树 和 域 林 这 种 形式 的 组 合 ， 可 以 用 层次 结构 来 模拟 一 个 大 型 
企业 的 组 织 结构 。 

在 默认 情况 下 ， 一 个 在 域 A 中 的 用 户 ， 其 身份 的 有 效 性 也 只 限于 域 A。 通 过 在 域 A 和 域 B 
之 间 建 立 域 信任 关系 (Domain Trusts), 使 得 域 A 中 的 用 户 在 本 地 登录 后 能 够 获得 域 B 的 信任 。 
域 间 信任 关系 涉及 两 个 域 : 施 信 域 和 受信 域 。 施 信 域 将 自己 对 用 户 的 验证 委托 给 受信 域 ， 而 受 
信 域 对 用 户 身 份 有 效 性 的 验证 结果 得 到 施 信 域 的 认可 。 域 间 的 信任 关系 只 影响 用 户 身份 的 有 效 
范围 。 

域 是 管理 的 边界 ， 管 理 权限 不 会 跨越 域 边界 ， 也 不 会 通过 域 树 向 下 流动 。 例 如 ， 如 果 一 个 
域 树 包含 A、B、C 3 个 域 ， 其 中 ，A 是 B 的 父 域 ， B 是 C 的 父 域 ， 具 有 域 A 管理 权限 的 用 户 
不 会 自动 获得 域 B 的 管理 权限 ， 具 有 域 B 管理 权限 的 用 户 也 不 会 自动 获得 域 C 的 管理 权限 。 
如 果 要 获得 给 定 域 中 的 管理 权限 ， 必 须 对 它们 进行 更 高 级 别 的 授权 ， 但 这 并 不 意味 着 管理 员 不 
能 具有 多 个 域 的 管理 权限 。 

组 织 单元 (Organizational Unit，OU) 是 域 下 面 的 容器 对 象 ， 是 比 域 更 小 的 管理 边界 。 通 过 
在 域内 创建 OU， 域 管理 员 可 以 将 部 分 管理 任务 指派 给 下 级 管理 员 ， 而 不 必 为 他 们 授予 整个 域 
的 管理 权限 。 

下 面 举例 说 明 如 何 利用 OU 实现 更 细致 的 企业 管理 方案 。 假 定 一 个 公司 的 销售 团队 有 自己 
的 网 络 管理 员 和 打印 机 、 服 务 器 等 网 络 资源 ， 销 售 团队 的 网 络 管理 员 必 须 管理 和 控制 销售 团队 
的 网 络 资源 、 管 理 策略 和 其 他 管理 元 素 。 
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在 Windows NT4 网 络 中 , 由 于 销售 团队 是 公司 域 的 一 部 分 , 所 以 销售 团队 的 网 络 管理 员 必 
须 加 入 到 公司 域 的 管理 员 组 中 才能 获得 管理 销售 团队 资源 的 权限 。 销 售 团队 管理 员 获 得 公司 域 
管理 员 的 身份 后 ， 不 仅 可 以 管理 销售 团队 的 网 络 资源 ， 还 可 以 对 整个 公司 域 中 的 资源 进行 管理 
和 控制 。 这 种 扩大 了 的 授权 是 欠 妥 当 的 ， 不 利于 网 络 的 安全 运行 。 

在 Windows 2008 R2 网 络 中 ， 管 理 员 可 以 在 公司 域 中 为 销售 团队 创建 一 个 OU， 并 授予 销 
售 团队 管理 员 仅 限于 该 OU 的 管理 权限 ， 而 不 是 整个 公司 域 的 管理 权限 。 通 过 创建 OU， 可 以 
将 公司 域 管理 员 的 身份 仅仅 指派 给 那些 管理 职责 覆盖 整个 域 的 管理 员 ， 使 网 络 能 够 更 可 靠 、 更 
安全 地 运行 。 在 OU 内 还 可 以 位 套 OU， 但 是 嵌 套 的 深度 不 能 超过 15， 否 则 就 会 出 现 性 能 下 降 


的 问题 。 
组 织 单元 是 可 以 配置 组 策略 或 委派 管理 权限 的 最 小 单位 。 组 织 单元 类 似 于 Windows NT 中 
的 工作 组 。 


3. 活动 目录 的 物理 结构 


活动 目录 的 物理 结构 用 于 优化 网 络 流量 。 活动 目 录 的 物理 结构 包含 站 点 和 域 控制 器 两 个 概 
念 。 站 点 (site) 由 一 个 或 多 个 子 网 构成 ， 站 点 内 的 计算 机 通过 可 靠 的 高 速 链 路 互相 连接 。 站 点 
是 网 络 的 物理 结构 ， 和 域 没 有 必然 的 联系 。 一 个 站 点 可 以 包含 多 个 域 ， 一 个 域 也 可 以 跨越 多 个 
站 点 。 站 点 的 划分 使 得 网 络 管理 员 可 以 更 好 地 利用 物理 网 络 的 特性 ， 更 方便 地 配置 活动 目录 的 
复杂 结构 ， 并 使 网 络 通信 处 于 最 佳 状态 。 当 用 户 登录 到 网 络 时 ， 活 动 目 录 客户 机 在 同一 站 点 内 
找到 域 控制 器 ， 可 以 尽快 地 登录 到 系统 中 。 当 各 个 域 控制 器 之 间 需 要 进行 信息 复制 时 ， 在 同一 
站 点 内 的 复制 操作 可 以 产生 最 小 的 网 络 通信 流量 。 

域 控制 器 是 使 用 活动 目录 安装 向 导 配置 的 Windows 服务 器 。 活动 目录 安装 向 导 提 供 各 种 活 
动 目录 服务 组 件 ， 供 用 户 选择 使 用 。 域 控制 器 存储 着 活动 目录 数据 ， 并 管理 用 户 域 之 间 的 各 种 
交互 作用 ， 包 括 用 户 登录 、 身 份 验 证 和 目录 搜索 等 过 程 。 一 个 域 可 以 有 一 个 或 多 个 域 控制 器 。 
为 了 获得 高 可 用 性 和 容错 能 力 ， 使 用 单个 局 域 网 的 小 公司 可 能 只 需要 两 个 域 控制 器 ， 其 中 一 个 
作为 备份 域 控制 器 以 提供 容错 功能 。 跨 越 多 个 子 网 的 大 公司 ， 在 每 个 子 网 中 都 需要 配置 一 个 或 
多 个 域 控制 器 。 

活动 目录 的 复制 涉及 在 多 个 域 控制 器 之 间 的 数据 传输 。 在 Windows 2003 中 采用 多 宿主 复 
制 模式 。 多 宿主 复制 (Multi master Replication) 意味 着 多 个 域 控制 器 具有 修改 活动 目录 数据 的 
权限 。 在 这 种 复制 模型 中 ， 如 果 一 个 域 控制 器 中 出 现任 何 数据 的 改变 ， 都 会 及 时 地 复制 到 其 他 
域 控制 器 中 。 复 制 过 程 同步 地 移动 被 更 新 的 数据 ， 使 得 活动 目录 中 的 所 有 信息 在 任何 时 刻 对 所 
有 域 控制 器 和 客户 机 都 是 可 用 的 。 Windows 2008 开始 , 增加 只 读 域 控制 器 (RODC) 功 能 , RODC 
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提供 了 一 种 在 要 求 快速 、 可 靠 的 身份 验证 服务 但 不 能 确保 可 写 域 控制 器 的 物理 安全 性 的 位 置 中 
更 安全 地 部 署 域 控制 器 的 方法 ， 为 域 控制 器 提供 了 更 安全 的 机 制 。 


4. 活动 目录 中 的 对 象 


活动 目录 中 的 对 象 主要 包括 用 户 名 、 工 作 组 、 计 算 机 和 打印 机 ， 然 而 网 络 中 所 有 的 服务 器 、 
域 和 站 点 也 可 以 成 为 活动 目录 中 的 对 象 。 

活动 目录 架构 包含 活动 目录 中 所 有 对 象 的 定义 (类 和 属性 )。 在 Windows 2008 R2 网 络 中 ， 

整个 森林 只 有 一 种 架构 ， 架 构 保存 在 活动 目录 中 。 

活动 目录 的 用 户 名 分 为 以 下 两 种 。 

。 主 用 户 名 〈User Principal Name ): 主 用 户 名 的 格式 与 E-mail 地 址 相同 ， 例 如 
john@cyc.com， 其 中 john 是 主 用 户 名 的 前 级 ，cyc.com 是 主 用 户 名 的 后 级 (一 般 为 根 
域名 )。 主 用 户 名 只 能 用 于 登录 Windows 2000/2003 网 络 。 

e。 ”用 户 登 录 名 (User Logon Name): 用 户 登录 名 是 一 般 的 字符 串 ， 在 Windows NT、 
Windows 2003 和 Windows 2008 R2 网 络 中 都 可 以 使 用 用 户 登录 名 。 

活动 目录 中 的 工作 组 分 为 以 下 几 种 。 

。 全 局 组 (Global Groups); 全 局 组 是 可 以 跨越 域 边界 访问 资源 的 工作 组 ， 全 局 组 的 访 
问 权限 可 以 达到 域 林 中 的 任何 信任 域 。 全 局 组 的 成 员 来 自生 成 该 组 的 本 地 域 , 但 是 可 
以 把 全 局 组 嵌入 到 其 他 域 的 本 地 组 中 ， 从 而 使 其 获得 其 他 域 资源 的 访问 权限 。 微 软 建 
议 根 据 组 织 结构 来 建立 全 局 组 , 就 是 把 本 单位 中 所 有 需要 访问 其 他 域 资源 的 用 户 根据 
访问 范围 划分 为 不 同 的 全 局 组 。 

。 ” 域 本 地 组 (Domain Local Groups): 域 本 地 组 的 访问 权限 仅 限于 本 地 域 ， 通 常 是 基于 
对 本 地 资源 的 权限 指派 来 建立 域 本 地 组 。 域 本 地 组 的 成 员 可 来 自 于 任何 域 , 但 是 只 能 
访问 本 地 域 中 的 资源 。 

。 ”通用 组 (Universal Groups): 通用 组 的 成 员 来 自 于 域 林 中 的 任何 域 ， 其 访问 权限 也 可 
以 达到 域 林 中 的 任何 域 。 通 用 组 的 成 员 信息 保存 在 全 局 目录 (GC) 中， 这 是 通用 组 
与 全 局 组 的 主要 区 别 。 正 因为 如 此 , 通用 组 的 任何 变化 都 会 导致 全 域 林 的 复制 。 所 以 ， 
应 该 把 比较 稳定 的 用 户 权限 信息 保存 到 通用 组 中 。 

为 了 使 一 个 用 户 可 以 访问 其 他 域 中 的 资源 ， 可 以 使 用 下 面 的 组 策略 。 

。 ”A-G-DL-P 策略 ; 

. A-G-G-DL-P 策略 ; 

. A-G-U-DL-P 策略 。 

这 里 ，A 表示 用 户 账号 ，G 表示 全 局 组 ，U 表示 通用 组 ，DL 表示 域 本 地 组 ，P 表示 资源 访 

问 权 限 (Permission)。A-G-DL-P 策略 是 将 用 户 账号 添加 到 全 局 组 中 , 将 全 局 组 添加 到 另 一 个 域 
的 域 本 地 组 中 ， 然 后 为 域 本 地 组 分 配 本 地 资源 的 访问 权限 ， 这 样 来 自 其 他 域 的 用 户 就 可 以 访问 
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本 地 域 中 的 资源 了 。 其 余 策 略 类 似 。 
S. 活动 目录 的 安装 和 配置 


活动 目录 必须 安装 在 Windows 2008 R2 的 NTFS 分 区 。 选 择 “ 开 始 ” 一 “ 


运行 ” 执行 


dcpromo.exe 命令 ， 启 动 Active Directory 域 服务 安装 向 导 。 然 后 按照 下 列 步骤 操作 。 


(1) 选择 “在 新 林 中 新 建 域 ” 如 图 9-3 所 示 。 


(2) 创建 一 个 新 域 ， 在 目录 林 根 域 文本 框 输入 域 控制 器 的 域名 。 
(3) 设置 林 功 能 级 别 ， 在 “ 林 功 能 级 别 ” 下 拉 框 中 选择 “Windows Server 2008 R2”， 如 图 


9-4 所 示 。 


ory 域 服务 安装 向 导 


选择 革 一 部 署 限 
tn 


三 珊 有 林 吧 ) 
丰 同 现 有 二 制 洛 OY 


40 有 枚 中 新 于 二 
贞 有 加 和 成为 帮 二 让 轨 荔 个 坟 抽 避 


个 在 新 林 中 新 建 培 四 ) 


有 关 可 陛 99 卉 于 可 项 的 评 细 信息 


< 上-»m) 职 消 


图 9-3 域 控制 器 类 型 


(4) 安装 DNS 服务 和 全 局 服务 ， 单 击 “ 下 - 
(5) 设置 保存 数据 库 、 日 志文 件 、SYSVOL 的 位 置 


PE 5 i ES 


是 要 堆 塘 ? 


者 


《< 上- 步 叶 取消 


图 9-4 选择 林 功能 级 别 


- 步 ” 在 弹出 的 窗口 中 选择 “是 ”， 如 图 9-5 所 示 。 


， 如 图 2 a 


日 志 廊 牢 立 件 志 (0) 
| mu 
SEEL 文件 夫人) 
Fw 


< 上 - 沙 ®) | 下 - 步 ) >| 。 取 肖 


图 9-5 安装 DNS 服务 器 


sm [FF] a 


图 9-6 活动 目录 数据 库 与 日 志文 件 的 文件 夹 
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(6) 设置 目录 还 原 模式 的 Administrator 密码 ， 输 入 密码 后 ， 单 击 “ 下 一 步 ”。 进 入 摘要 页 
面 ， 单 击 “ 下 一 步 ”， 系 统 开始 配置 Active Directory 域 服务 ， 配 置 完成 后 ， 自 动 重启 ， 即 可 完 
成 安装 ， 如 图 9-7 所 示 。 


(7) 重启 后 ， 系 统 登录 界面 如 图 9-8 所 示 。 
ETDITTEEEETS 
草本 
本 
讼 短 人 ad 此 过 略 能 要 几 分 色 BJV 上 时 
MYDA\Administrator 
已 FT 人 他 
Er 
民 完成 于 自动 四 
RE 全 本 os 
图 9-7 服务 还 原 模式 的 管理 员 密 码 图 9-8 域 服务 安装 完成 后 登录 界面 


9.2.3 Windows Server 2008 R2 远程 桌面 服务 


远程 桌面 服务 (Windows 2003 称 为 终端 服务 ) 是 Windows 2008 R2 中 的 一 个 服务 器 角色 ， 
它 提供 的 技术 使 用 户 能 够 访问 安装 在 RD 会 话 主机 服务 器 上 的 基于 Windows 的 程序 或 整个 
Windows 的 桌面 。 使 用 远程 桌面 服务 ， 用 户 可 以 从 企业 网 络 或 mntemet 访问 RD 会 话 主机 服务 
器 或 者 虚拟 机 。 

远程 桌面 服务 可 使 您 在 企业 环境 中 有 效 地 部 署 和 维护 软件 ， 可 以 很 容易 从 中 心 位 置 部 署 程 
序 。 由 于 将 程序 安装 在 RD 会 话 主 机 服务 器 上 ， 而 不 是 安装 在 客户 端 计算 机 上 ， 所 以 ， 更 容易 
升级 和 维护 程序 。 在 用 户 访问 RD 会 话 主机 服务 器 上 的 程序 时 ， 程 序 会 在 服务 器 运行 。 每 个 用 
户 只 能 看 到 各 自 的 会 话 。 服 务 器 操作 系统 透明 地 管理 会 话 , 与 任何 其 他 客户 端 会 话 无 关 。 另 外 ， 
您 可 以 配置 远程 桌面 服务 来 使 用 Hyper-VM， 以 便 将 虚拟 机 分 配给 用 户 或 在 连接 时 让 远程 桌面 
服务 动态 地 将 可 用 虚拟 机 分 配给 用 户 。 

在 Windows Server 2008 R2 中 ， 远 程 桌面 服务 由 下 列 角色 服务 组 成 。 

(1) 远程 桌面 会 话 主机 : 远程 桌面 会 话 主 机 (RD 会 话 主机 ) (以 前 是 终端 服务 器 ) 使 服 
务 器 可 以 托管 基于 Windows 的 程序 或 完整 的 Windows 桌面 。 用 户 可 连接 到 RD 会 话 主机 服务 
器 来 运行 程序 、 保 存 文件 ， 以 及 使 用 该 服务 器 上 的 网 络 资源 。 

(2) RD Web 访问 : 远程 桌面 Web 访问 (RD Web 访问 ) (以 前 是 TS Web 访问 ) 使 用 
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户 可 以 通过 运行 Windows 7 的 计算 机 上 的 “开始 ”菜单 或 通过 Web 浏览 器 来 访问 RemoteApp 
和 桌面 连接 。RemoteApp 和 桌面 连接 向 用 户 提供 RemoteApp 程序 和 虚拟 桌面 的 自 定义 视图 。 

(3) 远程 桌面 授权 : 远程 桌面 授权 (RD 授权 ) (以 前 是 TS 授权 ) 管理 每 台 设备 或 用 户 
与 RD 会 话 主机 服务 器 连接 所 需 的 远程 桌面 服务 客户 端 访问 许可 证 (RDS CAL)。 使 用 RD 授 
权 在 远程 桌面 授权 服务 器 上 安装 、 颁 发 RDS CAL 并 跟踪 其 可 用 性 。 

(4) RD 网 关 : 远程 桌面 网 关 (RD 网 关 ) (以 前 是 TS 网 关 ) 使 授权 的 远程 用 户 可 以 从 
任何 连接 到 Intermet 的 设备 连接 到 企业 内 部 网 络 上 的 资源 。 

(5) RD 连接 Broker: 远程 桌面 连接 代理 (RD 连接 代理 ) (以 前 是 TS 会 话 Broker) 支 
持 负载 平衡 RD 会 话 主机 服务 器 场 中 的 会 话 负载 平衡 和 会 话 重新 连接 。 RD 连接 代理 还 用 于 通 
过 RemoteApp 和 桌面 连接 为 用 户 提供 对 RemoteApp 程序 和 虚拟 机 的 访问 。 

(6) 远程 桌面 虚拟 化 主机 : 远程 桌面 虚拟 化 主机 (RD 虚拟 化 主机 ) 集成 了 Hyper-V 以 
托管 虚拟 机 ， 并 将 这 些 虚 拟 机 作为 虚拟 桌面 提供 给 用 户 。 可 以 将 唯一 的 虚拟 机 分 配给 组 织 中 的 
每 个 用 户 ， 或 为 他 们 提供 对 虚拟 机 池 的 共享 访问 。 


1. 远程 桌面 服务 的 安装 


在 Windows Server 2008 R2 中 ， 默 认 情况 下 没有 远程 桌面 服务 ， 需 要 进行 手动 添加 。 终 端 
服务 的 安装 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 按 钮 ， 然 后 选择 “管理 工具 ”一 “服务 器 管理 器 ”一 “角色 ”一 “添加 
角色 ”命令 。 

(2) 进入 添加 角色 向 导 界 面 ， 单 击 “ 下 一 步 ” 按 钮 ， 显 示 “ 选 择 服务 器 角色 ”在 “角色 ” 
列表 中 勾 选 “远程 桌面 服务 ” 复 选 枉 ， 单 击 “ 下 一 步 ” 按 钮 。 

(3) 在 “角色 服务 ”列表 中 勾 选 需要 添加 服务 的 复 选 枉 ， 单 击 “ 下 一 步 ” 按 钮 。 

(4) 应 用 程序 兼容 性 说 明 页 面 ， 单 击 “ 下 一 步 ” 按 钮 。 

(5) 勾 选 相应 的 身份 验证 方式 单 选 杠 ， 单 击 “ 下 一 步 ” 按 钮 。 

(6) 勾 选 相应 的 授权 模式 单 选 框 ， 单 击 “ 下 一 步 ”按钮 。 

(7) 添加 可 以 远程 连接 到 RD 会 话 主机 的 用 户 或 用 户 组 ， 默 认 Administrators 用 户 组 已 具 
备 访问 权限 ， 且 不 可 删除 ， 单 击 “ 下 一 步 ” 按 钮 。 

(8) 根据 向 导 提示 ， 完 成 “客户 端 体验 ”“RD 授权 配置 ”>“ 服 务 器 验证 证 书 ”“ 授 权 策略 ” 
配置 ， 单 击 “ 下 一 步 ” 按 钮 。 

(9) 单 击 “ 安 装 ” 按 钮 ， 系 统 将 所 选择 的 角色 添加 到 服务 器 ， 完 成 后 自动 重启 计算 机 。 


2. 远程 桌面 服务 的 配置 与 管理 


1) 赋予 用 户 权 限 
默认 情况 下 ， 只 有 系统 管理 员 组 用 户 〈Administrators) 和 系统 组 用 户 (SYSTEM) 拥有 访 
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问 和 完全 控制 远程 桌面 服务 器 的 权限 ， 远程 桌面 用 户 组 (Remote Desktop Users) 的 成 员 只 拥有 
访问 权限 而 不 具备 完全 控制 权 。 在 很 多 时 候 ， 默 认 的 权限 设置 往往 并 不 能 完全 满足 我 们 的 实际 
需求 ， 因 此 还 需要 赋予 某 些 特殊 用 户 远程 连接 的 权限 。 具 体 设置 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 按 钮 ， 选 择 “管理 工具 ”一 “远程 桌面 服务 ”一 “远程 桌面 会 话 主机 配 
置 ”命令 ， 显 示 如 图 9-9 所 示 的 “远程 桌面 会 话 主机 配置 ”窗口 。 

(2) 单 击 树 型 列表 框 中 的 “RD 会 话 主机 配置 ”选项 , 用 鼠标 右 击 右 侧 列表 框 中 的 RDP-Tep， 
从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 弹出 的 对 话 框 中 选择 “安全 ”选项 卡 ， 该 选项 卡 对 
管理 员 Administrator 的 访问 权限 进行 了 一 定 的 限制 , 管理 员 可 以 有 “完全 控制 “用 户 访问 ”“ 来 
宾 访 问 ” 以 及 “特殊 权限 ”4 种 权限 ， 通 过 选中 或 取消 各 项 的 复 选 框 来 确定 相应 的 权限 ， 如 图 
9-10 所 示 。 


钵 要 可 计 业 服务 是 的 可 村 
db er 
训 Roote Desktop Users CTENPLATE\Renote Desktop Users) 

汪 3 句 IEMCTIvE 
志和 设置 

宙 

加 县 

加 每 全 相信 有 必 时 交友 皇 

四 内 个 朋 户 愉 能 进行 一 个 全 活 是 

者 权 

| 用 于 知 允 和 点 五 

| 
图 9-9 “远程 桌面 会 话 主 机 配置 ”窗口 图 9-10 RDP-Tep 属性 


(3) 单 击 “ 高 级 ”按钮 ， 显 示 所 有 用 户 的 权限 ， 如 图 9-11 所 示 。 

2) 远程 桌面 服务 高 级 设置 

(1) 更 改 加 密级 别 。 

在 “RDP-Tcp 属性 ”对 话 框 中 选择 “常规 ”选项 卡 ， 如 图 9-12 所 示 。 

在 “加 密 ” 选 项 区 域 的 “加 密级 别 ” 下 拉 列 表 中 包括 以 下 4 种 级 别 。 

中 低 。 使 用 56 位 密 钥 对 从 客户 端 传输 到 服务 器 的 数据 进行 加 密 。 

加 客户 端 兼 容 。 使 用 客户 端 所 支持 最 大 长 度 的 密 钥 对 从 客户 端 传输 到 服务 器 的 数据 进行 
加 密 。 


so 
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厂 识 克 诗 运 行 实 月 网 络 级 别 身份 驴 汪 的 远程 桌面 的 计算 机 注 癌 ) 
证 书 : 已 自动 生 或 


添 如 四 损 要 加 国际 go 逊 局 回 认 什 久 ) A 昧 认 值 加 ) 
pa | 
CJ wm | [mm .il | 
图 9-11 所 有 用 户 的 权限 图 9-12 “常规 ”选项 卡 


@ 高 。 使 用 128 位 密 钥 的 强加 密 算法 对 从 
客户 端 传 输 到 服务 器 的 数据 进行 加 密 。 

@ 符 合 FIPS 标准 。 使 用 Microsoft 加 密 模 
块 的 联邦 信息 处 理 标 准 (FIPS) 对 从 客户 端 伟 
输 到 服务 器 的 数据 进行 加 密 。 


此 外 ， 如 果 希 望 此 连接 进行 标准 的 Windows 二 
验证 ， 则 选中 “使 用 标准 Windows 验证 ” 复 SS 
选 框 。 厂 始终 提示 室 码 四) 


(2) 允许 用 户 自动 登录 到 服务 器 。 
在 “RDP-Tep 属性 ”对 话 框 中 选择 “登录 
设置 ”选项 卡 ， 如 图 9-13 所 示 。 | | 
默认 情况 下 为 使 用 客户 端 提供 的 登录 CE ea | unw | 
信息 。 图 9-13 “登录 设置 ”选项 卡 
选中 “始终 使 用 以 下 登录 信息 ” 复 选 框 来 
设置 允许 用 户 登 录 的 信息 。 在 “用 户 名 ”文本 框 中 输入 允许 登录 到 服务 器 的 用 户 名 称 ; 在 “ 域 ” 
文本 框 中 输入 计算 机 所 属 域 的 名 称 ， 在 “密码 ”和 “确认 密码 ”文本 框 中 输入 该 用 户 登录 时 所 
采用 的 密码 。 
如 果 要 求 用 户 在 登录 到 服务 器 之 前 始终 被 提示 输入 密码 , 则 选中 “始终 提示 密码 ” 复 选 框 。 
(3) 配置 远程 桌面 服务 超时 和 重新 连接 功能 。 
在 “RDP-Tep 属性 ”对 话 框 中 选择 “会 话 ”选项 卡 ， 如 图 9-14 所 示 。 选 中 “改写 用 户 设 
冒 ” 复 选 框 ， 人 允许 用 户 配置 此 连接 的 超时 设置 。 
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@ 在 “结束 已 断 开 的 会 话 ” 下 拉 列 表 中 选择 断 开 连 接 的 会 话 留 在 服务 器 上 的 最 长 时 间 。 
@ 在 “活动 会 话 限制 ”下 拉 列 表 中 选择 用 户 的 会 话 在 服务 器 上 持续 的 最 长 时 间 。 

@ 在 “空闲 会 话 限 制 ” 下 拉 列 表 中 选择 空闲 的 会 话 在 服务 器 上 持续 的 最 长 时 间 。 

@ 选中 “改写 用 户 设置 ” 复 选 框 设置 到 达 会 话 限制 时 或 者 连接 被 中 断 时 进行 的 操作 。 
(4) 管理 远程 控制 。 

在 “RDP-Tep 属性 ”对 话 框 中 选择 “远程 控制 ”选项 卡 ， 如 图 9-15 所 示 。 

一 二 


[一 一 
| 安全 


三 
运程 控制 。 | 。 襄 户 消 设 置 。 | 网 络 适 可 器 


Cis | ms | smw | Ca |] ms | maw | 
图 9-14 “会 话 ” 选 项 卡 图 9-15 “远程 控制 ”选项 卡 


选择 “使 用 具有 下 列 设置 的 远程 控制 ” 单 选 按 钮 即 可 配置 该 连接 的 远程 控制 。 
9.2.4 Windows Server 2008 R2 远程 管理 


远程 管理 的 使 用 是 衡量 Windows Server 2008 R2 网 络 管理 员 、 系 统管 理 员 水 平 的 重要 指标 。 
它 既 可 是 系统 中 集成 的 ， 又 可 以 是 由 其 他 单独 远程 管理 软件 所 提供 的 。 在 Windows 系统 中 ， 远 
程 管理 是 集成 于 其 他 服务 之 中 ， 通 过 使 用 其 他 服务 或 服务 组 合 来 实现 的 。 

许多 网 络 设备 也 引入 了 “远程 管理 ”理念 ， 如 服务 器 、 路 由 器 产品 、 防 火 墙 和 网 络 打印 机 
等 ， 目 的 就 是 方便 管理 员 在 不 同 地 方 对 相应 主机 或 设备 进行 管理 。 它 与 远程 控制 技术 一 样 ， 已 
渗透 到 各 行 各 业 ， 特 别 是 信息 产业 的 各 个 领域 ， 应 用 非常 广泛 。 

1. Microsoft 管理 控制 台 MMC) 


Microsoft 管理 控制 台 集 成 了 用 来 管理 网 络 、 计 算 机 、 服 务 及 其 他 系统 组 件 的 管理 工具 。 可 
以 使 用 MMC 创建 、 保 存 并 打开 管理 工具 单元 ， 这 些 管 理工 具 用 来 管理 硬件 、 软 件 和 Windows 
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系统 的 网 络 组 件 。MMC 可 以 运行 在 各 种 Windows 9x/NT 操作 系统 上 ， 以 及 Windows XP 家 庭 
版 /专业 版 和 Windows Server 2003、Windows Server 2008 家 族 的 操作 系统 上 。 
MMC 不 执行 管理 功能 ， 但 集成 管理 工具 。 可 以 添加 到 控制 台 的 主要 工具 类 型 称 为 管理 单 
元 ， 其 他 可 添加 的 项 目 包 括 ActiveX 控件 、 网 页 的 链接 、 文 件 夹 、 任 务 板 视 图 和 任务 。 
若 需要 在 Windows Server 2008 R2 上 经 常 对 
台 计 算 机 进行 远程 桌面 管理 可 进行 用 户 添加 ， 


以 便 完 成 远程 管理 。 用 户 添加 操作 如 下 。 用 
(1) 选择 “开始 ”一 “运行 ”命令 , 打开 “ 运 pox = 
行 ” 对话 框 ， 在 文本 框 中 输入 命令 “mmc”， 如 图 富 使 用 管理 权限 创 娃 出 任务。 
9-16 所 示 。 
(2) 单 击 “ 确 定 ” 按 钮 ， 系 统 显示 MMC 控 wy | oj- 
制 台 ， 如 图 9-17 所 示 。 
(3) 单 击 “文件” 一 “添加 或 删除 管理 单元 ” 图 9-16 运行 命令 
命令 。 


(4) 在 列表 框 中 选择 “远程 桌面 ”选项 ， 单 击 “ 添 加 ”按钮 ， 如 图 9-18 所 示 。 


-加 ETETTRTDT 加 
pr 
EE 


收 大 到 (0】 窗口 他 帮助 到) 
r+ mB 


此 和 枢 中 该 有 可 蝇 条 入 项 目 。 
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图 9-17 MMC 控制 台 窗 口 图 9-18 添加 远程 桌面 


(5) 右 击 控制 台 根 节点 中 的 远程 桌面 ， 选 择 “ 添 加 新 连接 ”， 在 如 图 9-19 所 示 的 对 话 框 中 
依次 添加 计算 机 卫 、 连 接 名 称 、 用 户 名 ， 完 成 一 个 用 户 的 添加 。 

(6) 重复 步骤 (5)， 将 目标 计算 机 逐个 添加 到 控制 台 。 

2. 远程 桌面 连接 

远程 桌面 连接 功能 是 为 Windows Server 2008 R2 系统 提供 的 一 种 连接 远程 工作 站 的 远程 管 
理工 具 。 
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1) 配置 远程 桌面 连接 

(1) 选择 “开始 ”一 “控制 面板 ”一 “系统 ”一 “远程 设置 ”命令 打开 对 话 框 , 切换 到 “ 远 
程 ” 选 项 卡 ， 在 “远程 桌面 ” 栏 中 色 选 “ 仅 允 许 运 行使 用 网 络 级 别 身份 验证 的 远程 桌面 的 计算 
机 连接 (更 安全 )” 复 选 框 ， 如 图 9-20 所 示 。 


| 连接 页 机 名 | 硬件 | 融 名 。 斌 程 | 
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济 昨 四 . 民营 放 二 得 祭 玖 本 拘 运 合十 真 机 CT 
下 高 级 5 
厅 使 用 /aanin 选项 进行 连接 0D 到 得 病 面 
单 二 一 个 迁 项 然后 指定 准 可 以 三 按 (0 果 需要 )" 
ed i | 个 不 多 许 注 措 到 这 全 计算 机 0) 
忆 en 个 允许 运行 任意 版 本 运程 点 耐 的 计算 名 演 按 咏 不 安全 ) 0.) 
计算 机 名 称 字段 为 空 。 请 输入 完整 的 运程 计算 机 名 称 。 i 
ME E22 
识 置 将 在 下 次 连接 此 计算 机 上 时 生效 。 
[CC ] 开 | EI ww | enw | 
图 9-19 添加 新 连接 图 9-20 “远程 ”选项 卡 


(2) 选择 “开始 ”一 “控制 面板 ”一 “Windows 防火 墙 ” 一 “允许 程序 或 功能 通过 Windows 
防火 墙 ” 命 令 打开 对 话 框 ， 如 图 9-21 所 示 ， 勾 选 “ 远 程 桌面 "， 单 击 “ 确 定 ” 即 可 允许 远程 
访问 。 

2) 使 用 远程 桌面 连接 

(1) 选择 “开始 ”一 “所 有 程序 ”一 “附件 ”一 “远程 桌面 连接 ” 随即 弹出 一 个 对 话 框 ， 
要 求 输入 要 远程 连接 的 计算 机 名 或 下 地 址 ， 如 图 9-22 所 示 。 
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图 9-21 “本 地 连接 属性 ”对 话 框 图 9-22 “远程 桌面 连接 ”窗口 
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(2) 单 击 “ 选 项 ”按钮 ， 即 可 弹出 一 个 可 以 对 该 项 远程 连接 进行 详细 配置 的 对 话 框 ， 如 图 
9-23 所 示 。 在 这 个 对 话 框 中 包括 6 个 选项 卡 ， 可 以 进行 非常 全 面 的 连接 配置 ， 在 此 不 做 详细 
介绍 。 

使 用 远程 桌面 连接 功能 可 以 很 容易 地 连接 到 其 他 允许 连接 远程 桌面 的 计算 机 ， 用 户 可 以 保 
存 设 置 以 用 于 下 次 连接 ， 远 程 连接 登录 界面 如 图 9-24 所 示 。 
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图 9-23 ”远程 连接 详细 配置 的 窗口 图 9-24 ”远程 连接 登录 


9.2.5 Linux 网 络 配置 
1. 网 络 配置 文件 


在 Linux 操作 系统 中 ,，TCP/IP 网 络 是 通过 若干 个 文本 文件 进行 配置 的 ， 系统 在 启动 时 通过 
读 取 一 组 有 关 网 络 配置 的 文件 和 脚本 参数 内 容 来 实现 网 络 接口 的 初始 化 和 控制 过 程 ， 这 些 文件 
和 脚本 大 多 数位 于 /ete 目录 下 。 这 些 配 置 文 件 提供 网 络 中 地址、 主机 名 和 域名 等 ， 脚 本 则 负责 
网 络 接口 的 初始 化 。 通 过 编辑 这 些 文件 可 以 进行 网 络 设置 和 实现 联网 工作 。 这 些 文件 可 以 在 系 
统 运行 时 修改 。 不 用 启动 或 者 停止 任何 守护 程序 ， 更 改 会 立刻 生效 。 这 些 文件 都 支持 由 “#” 
开头 的 注释 。 在 Linux 系统 中 ， 有 关 网 络 配 置 的 主要 文件 有 以 下 几 个 。 

(1) /etc/sysconfig/network-script/ifcfg-enoxxx 文件 。 这 是 一 个 用 来 指定 服务 器 上 的 网 络 配 
置信 息 的 文件 。 其 中 常见 的 主要 参数 的 含义 说 明 如 下 。 


TYPE=Ethemet # 网 络 接口 类 型 
BOOTPROTO=static # 葛 态 地 址 
DEFROUTE=yes 


IPV4 FAILURE FATAL=no 
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IPV6INIT=yes # 是 否 支持 IPV6 
IPV6 AUTOCONF=yes 

IPV6 DEFROUTE=yes 

IPV6 FAILURE FATAL=no 


NAME=eno16780032 # 网 卡 名 称 
UUID=16c93842-a039-4da3-b88a-977eb1201b3f 
ONBOOT=yes 

IPADDRO=10.0.252.198 ##P 地 址 
PREFIX0=24 # 子 网 掩 码 
GAIEWAY0=10.0.252.254 # 网 关 
DNS1=61.134.1.4 #DNS 地 址 


HWADDR=00:50:56:95:23:CE # 网 卡 物理 地 址 ， 使 用 虚拟 机 需要 注意 此 地 址 
IPV6 PEERDNS=yes 
IPV6 PEERROUTES=yes 


配置 完成 后 ， 需 要 使 用 systemctl restart network 命令 重启 网 络 服务 。 
(2) /etc/hostname 文件 ， 该 文件 包含 了 Linux 系统 的 主机 名 。 


[root@redhat ~] #vi /etc/hostname 修改 配置 文件 中 的 redhat 为 redhat-64， 
保存 文件 ， 然 后 重新 登录 ， 此 时 ， 主 机 名 已 经 更 改 
[root@redhat-64 ~]# hostnamectl status 
Static hostname: redhat-64 


表明 静态 主机 名 已 经 修改 成 功 。 

这 个 文件 是 在 启动 时 从 文件 /etc/sysconfig/network 的 HOSTNAME 行 中 得 到 的 ， 用 于 在 启 
动 时 设置 系统 的 主机 名 。 

(3) /etc/resolv.conf 文件 。/etc/resolv.conf 文件 配置 DNS 客户 , 它 包 含 了 主机 的 域名 搜索 顺 
序 和 DNS 服务 器 的 地 址 ， 每 一 行 应 包含 一 个 关键 字 和 一 个 或 多 个 由 空格 隔 开 的 参数 。 下 面 是 
一 个 例子 


search mydomain.edu.cn 
nameserver 210.34.0.14 
nameserver 210.34.0.13 
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常用 参数 及 其 意义 说 明 如 下 。 

。 ”nameserver: 表明 DNS 服务 器 的 人 P 地 址 。 可 以 有 很 多 行 的 nameserver， 每 一 个 带 一 
个 卫 地 址 。 在 查询 时 就 按 nameserver 在 本 文件 中 的 顺序 进行 ， 且 只 有 当 第 一 个 
nameserver 没有 反应 时 才 查 询 下 面 的 nameserver。 

。 ”domain: 声明 主机 的 域名 。 很 多 程序 用 到 它 ， 如 邮件 系统 ， 当 为 没有 域名 的 主机 进行 
DNS 查询 时 也 要 用 到 。 如 果 没 有 域名 ， 主 机 名 将 被 使 用 ， 删 除 所 有 在 第 一 个 点 〈.) 
前 面 的 内 容 。 

。 search: 它 的 多 个 参数 指明 域名 的 查询 顺序 。 当 要 查询 没有 域名 的 主机 时 ， 主 机 将 在 

由 search 声明 的 域 中 分 别 查 找 。domain 和 search 不 能 共存 。 

。 sortlist:， 允许 将 得 到 的 域名 结果 进行 特定 的 排序 。 它 的 参数 为 网 络 / 掩 码 对， 允许 任意 
的 排列 顺序 。 在 Red Hat Linux 中 没有 提供 默认 的 /etc/resolv.conf 文件 ， 它 的 内 容 是 根 
据 在 安装 时 给 出 的 选项 动态 创建 的 。 


2. 安装 网 卡 


在 安装 Linux 操作 系统 时 ， 如 果 计 算 机 系统 中 装 有 网 卡 ， 安 装 程序 将 会 提示 给 出 TCP/ 人 P 
网 络 的 配置 参数 ， 如 本 机 、 默 认 网 关 以 及 DNS 的 他 地 址 等 。 根 据 这 些 配 置 参 数 ， 安 装 程序 将 
会 自动 把 网 卡 的 驱动 程序 编译 到 内 核 中 去 。 网 卡 的 驱动 程序 是 作为 模块 加 载 到 内 核 中 去 的 。 所 
有 Linux 支持 的 网 卡 驱动 程序 都 是 存放 在 目录 /lib/modules/ (Linux 版 本 号 ) /net/ 下 ， 可 以 通过 
修改 模块 配置 文件 来 更 换 网 卡 或 者 增加 网 卡 。 

Red Hat Linux 7 中 ， 网 卡 命名 方式 从 eth0,1,2 的 方式 变 成 了 enoX XXXX 的 格式 ，en 表 
示 的 是 enthemet，o 表示 的 是 onboard，X X X 表 示 的 一 长 串 数 字 则 是 主板 的 某 种 索引 编号 自 
动 生成 的 ， 可 以 保证 其 唯一 性 。 但 网 卡 并 不 能 直接 作为 硬件 裸 设备 出 现 于 /dev 下 ， 而 是 内 核 在 
引导 时 在 内 存 中 建立 的 。Red Hat Linux 默认 是 采用 内 核 模块 (module) 的 方式 在 系统 引导 时 设 
定 网 卡 的 ， 如 果 已 经 知道 网 卡 类 型 ， 也 可 以 把 相应 的 网 卡 驱动 编译 进 内 核 。 


3. 网 络 配置 命令 
(1) 网 络 接口 设置 命令 ifconfig。 在 Linux 系统 中 通过 ifconfig 命令 进行 指定 网 络 接口 的 


TCP/IP 网 络 参数 设置 。 执 行 fconfig 配置 命令 后 ， 系 统 将 在 内 核 表 中 设置 必要 的 网 络 参数 ， 这 
样 Linux 系统 就 知道 如 何 与 网 络 上 的 网 卡通 信 了 。ifconfig 命令 的 基本 格式 如 下 。 


ifconfig Interface-name ip-address upldown 


使 用 不 带 任何 参数 的 ifconfig 命令 可 以 查看 当前 系统 的 网 络 配置 情况 。 在 刚 安装 完 系统 之 
后 ， 实 际 上 是 在 没有 网 卡 或 者 网 络 连接 的 情况 下 使 用 Linux， 但 通过 ifeconfig 可 以 使 用 回 送 
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(loopback) 方式 工作 ， 使 计算 机 认为 自己 在 网 络 上 工作 。 使 用 ifconfig 命令 可 以 进行 指定 网 络 
接口 的 TCP/IP 网 络 参数 设置 。 

例如 ， 运 行 下 列 命令 。 

[root@redhat-64 ~]#ifconfig eno16780032 10.0.252.198 netmask 255.255.255.0 up 


将 网 络 接口 eno16770671 的 中 地 址 设置 为 192.168.0.5, 子 网 掩 码 为 255.255.255.0， 并 启动 该 接 
或 将 其 初始 化 。 类 似 的 ， 若 将 网 络 接口 “关闭 ” 则 输入 命令 ifconfig eth0 down， 不 需要 指定 
四 地址 和 网 络 掩 码 。 

运行 不 带 任何 参数 的 ifconfig 命令 可 以 显示 所 有 网 络 接口 的 状态 。 若 要 检查 特定 接口 的 状 
态 ， 则 在 这 onfig 后 附加 这 个 接口 的 名 称 。 例 如 运行 : 


[root@redhat-64 ~]#ifconfig eno16780032 


命令 后 ， 系 统 显示 接口 状态 信息 如 下 。 


eno16780032: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 
inet 10.0.252.198 netmask 255.255.255.0 broadcast 10.0.252.255 

inet6 fe80::250:56ff:fe95:23ce prefixlen 64 scopeid 0x20<link> 

ether 00:50:56:95:23:ce txqueuelen 1000 (Ethemet) 

RX packets 1629264 bytes 140809241 (134.2 MiB) 

RX errors 0 dropped 53 overruns 0 frame 0 

TX packets 256808 bytes 17948386 (17.1 MiB) 

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 


以 上 输出 显示 MAC 地 址 (Hwaddr)、 所 分 配 的 下 地址 (inet addr)、 广 播 地 址 (Bcast) 和 
网 络 掩 码 (Mask)。 另 外 ， 可 以 看 出 该 接口 处 于 UP 状态 ,其 MTU 为 1500 并 且 Metric 为 1。 
接 下 来 的 两 行 给 出 有 关 接 收 到 RX) 和 已 发 送 的 (TX) 信息 包 数 ， 以 及 错误 、 丢 弃 和 溢出 信 
息 包 数 的 统计 。 最 后 两 行 显示 冲突 信息 包 的 数目 、 发 送 队 列 大 小 (txqueuelen) 和 IRQ 以 及 网 
卡 的 基 址 。 

(2) 配置 路 由 命令 route。 通 常 在 系统 使 用 ifconfig 命令 配置 网 络 接口 后 ， 需 用 route 命令 
设 定 主机 或 局 域 网 的 出 口 人 P 地 址 。route 命令 的 调用 参数 复杂 ， 它 的 主要 功能 是 管理 Linux 系 
统 内 核 中 的 路 由 表 。route 命令 的 基本 格式 如 下 。 


route [- 选 项 ] 


常用 参数 和 选项 说 明 如 下 。 
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。 ”del: 删除 一 个 路 由 表 项 。 

。 add: 增加 一 个 路 由 表 项 。 

。 target: 配置 的 目的 网 段 或 者 主机 ， 可 以 是 也， 也 可 以 是 网 络 或 主机 名 。 
。 ”netmaskNm: 用 来 指明 要 添加 的 路 由 表 项 的 子 网 掩 码 。 

。 ”gw Gw: 任何 通 往 目 的 地 的 下 分 组 都 要 通过 这 个 网 关 。 

例如 ， 运 行 不 带 参数 的 route 命令 : 


[root@redhat-64 ~] 贞 oute 


系统 将 显示 内 核 路 由 表 如 下 。 
Kernel IP routing table 
Destination Gateway Genmask Flags Metric Ref Use Iface 
default 10.0.252.254 0.0.0.0 UG 1024 0 0 eno16780032 
10.0.252.0 0.0.0.0 255.255.255.0 U 0 0 0 enol6780032 


第 一 项 是 默认 路 由 ， 表 明 默 认 网 关 为 10.0.252.254， 网 络 接口 为 eno16780032。 
最 小 的 路 由 表 仅 允许 在 同一 网 络 中 的 主机 互相 通信 。 如 果 要 与 远程 主机 通信 ， 必 须 将 通过 
外 部 网 关 的 路 由 添加 到 路 由 表 中 。route 命令 的 基本 格式 如 下 。 


route [addldel] [-netl-host] target [netmask Nm] [gw Gw] [[dev] If] 


在 route 命令 上 的 第 一 个 关键 字 要 么 是 add 要 么 是 del (删除 路 由 )。 下 一 个 值 是 目的 地 地 
址 ， 它 是 通过 该 路 由 到 达 的 地 址 。 如 果 关 键 字 default 用 于 目的 地 地 址 ， 则 创建 默认 路 由 。 只 要 
没有 到 目的 地 的 特定 路 由 ， 就 使 用 默认 路 由 。 如 果 网 络 中 只 有 一 个 网 关 ， 则 使 用 默认 路 由 引导 
所 有 要 到 远程 网 络 的 数据 流量 通过 这 个 网 关 。 命 令 行 的 下 一 个 参数 是 网 关 地 址 ， 该 地 址 必须 是 
直接 连接 本 机 所 在 网 络 的 网 关 地 址 。 在 到 远程 目的 地 的 网 络 路 径 中 ，TCP/IP 路 由 要 指定 下 一 跳 
(next-hop)。 这 个 下 一 中 继 必 须 是 本 机 可 直接 访问 的 ， 因 此 ， 它 必须 直接 连接 在 本 机 所 在 的 网 
络 中 。 

因为 大 多 数 的 路 由 都 是 在 系统 启动 过 程 早期 添加 的 ， 所 以 建议 用 数字 的 他 地 址 替代 主机 
名 ， 这 样 做 就 可 以 确保 路 由 配置 不 依赖 于 名 称 服务 器 的 状态 。 

(3) 网 络 测试 命令 ping。 配 置 完成 路 由 以 后 ,可 以 用 ping 命令 做 一 个 测试 来 检查 一 下 配置 
是 否 成 功 。ping 命令 用 于 查看 网 络 上 的 主机 是 否 在 工作 ， 它 向 被 查看 主机 发 送 ICMP 
ECHO_REQUEST 包 ， 正 常情 况 下 应 该 可 以 接收 到 响应 。ping 命令 的 一 般 格式 如 下 。 


ping [- 选 项 ] 主机 名 /他 地 址 
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常用 参数 和 选项 说 明 如 下 。 
。 ”-t: 校 验 与 指定 计算 机 的 连接 ， 直 到 用 户 中 断 。 
。 “”-a; 将 地 址 解析 为 计算 机 名 。 
e = count: 发 送 由 count 指定 数量 的 ECHO 报 文 ， 在 发 送 指定 数目 的 包 后 停止 。 默 认 
值 为 4。 
。 -llength: 发 送 包含 由 length 指定 数据 长 度 的 ECHO 报 文 。 默认 值 为 64 字 节 ， 最 大 值 
为 8192 字 节 。 
。 -itl: 将 “生存 时 间 ” 字 段 设 置 为 世 指定 的 数值 。 
ping 命令 通过 向 计算 机 发 送 ICMP 回应 报 文 并 且 监 听 回 应 报 文 的 返回 ， 以 校 验 与 远程 计算 
机 或 本 地 计算 机 的 连接 及 参数 配置 情况 ， 可 以 使 用 ping 实用 程序 测试 计算 机 名 和 卫 地址。 如 
果 能 够 成 功 校 验 人 P 地 址 却 不 能 成 功 校 验 计算 机 名 ， 则 说 明 名 称 解 析 存 在 问题 。 在 这 种 情况 下 ， 
要 保证 在 本 地 HOSTS 文件 中 或 DNS 数据 库 中 存在 要 查询 的 计算 机 名 。 
(4) 网 络 查询 命令 netstat。 网 络 信息 查询 命令 netstat 可 以 显示 内 核 路 由 表 、 活 动 网 络 连接 
的 状态 和 每 个 已 安装 网 络 接口 等 一 些 有 用 的 统计 信息 。 像 大 多 数 Linux 管理 命令 行程 序 一 样 ， 
netstat 可 以 通过 其 后 面 的 附加 选项 和 参数 选择 所 显示 信息 的 细节 。netstat 命令 的 一 般 格 式 如 下 。 


netstat [- 选 项 ][- 参 数 ] 


常用 参数 和 选项 说 明 如 下 。 
。 显示 所 有 连接 的 信息 ， 包 括 那 些 正 在 侦 听 的 。 


-a: 
。 ”7-i: 显示 所 有 已 配置 网 络 设备 的 统计 信息 。 
。 ”-c: 持续 更 新 网 络 状态 (每 秒 一 次 ) ， 直 到 被 人 为 中 止 。 
。 了: 显示 内 核 路 由 表 。 

。 =: 以 数字 (原始 ) 格式 而 不 是 已 解析 的 名 称 显示 远程 和 本 地 地 址 。 

在 使 用 netstat 命令 时 可 以 组 合 这 些 选项 ,所 以 输入 netstat -m 将 以 原始 的 下 地 址 格式 显示 
关于 本 地 和 远程 主机 Cn) 的 系统 路 由 表 (7)。 

例如 ， 运 行 下 面 的 命令 : 


[root@redhat-64 ~]#netstat -nr 


系统 显示 : 
Kernel IP routing table 
Destination Gateway Genmask Flags MSS Window irtt Iface 
0.0.0.0 10.0.252.254 0.0.0.0 UG 0 0 0 eno16780032 


10.0.252.0 0.0.0.0 255.255.255.0 U 0 0 0 eno16780032 
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卫 选 项 强制 netstat 以 点 分 四 组 下 数字 的 形式 , 而 不 是 以 主机 和 网 络 名 称 的 形式 输出 地 址 。 

第 二 列 显示 路 由 项 中 所 指向 的 网 关 。 如 果 没 有 使 用 网 关 ， 就 会 显示 星 号 。 

第 三 列 是 子 网 掩 码 。 

第 四 列 显示 路 由 的 标志 : U 表示 处 于 活动 状态 ， 瑟 表示 主机 ，G 表示 网 关 ，D 表示 动态 路 
由 ，M 表示 已 经 修改 过 。 

接 下 来 的 3 列 显示 MSS、Window 和 irtt， 它 们 将 被 应 用 于 通过 该 路 由 建立 的 TCP 连接 。 
MSS (Maximum Segment Size) 表示 “最 大 分 段 尺寸 ” 也 是 内 核 所 构建 以 通过 该 路 由 发 送 的 数 
据 报 的 最 大 尺寸 。Window 表示 系统 一 次 从 远程 主机 接收 突 发 的 最 大 量 数据 。 

首 字母 缩写 词 irtt 代表 “初始 往返 时 间 (initial round trip tim)”。TCP 协议 一 直 对 发 送 给 远 
程 端点 的 数据 报 和 接收 到 的 确认 所 花费 的 时 间 进 行 记 数 ， 以 便 知道 假定 要 重 发 数据 报 前 需要 等 
待 的 时 间 ， 这 个 过 程 称 为 往返 时 间 。 可 以 使 用 route 命令 设置 irtt 值 。 在 上 面 这 个 路 由 表 中 ， 这 
些 字段 均 为 0 值 ， 表 明正 在 使 用 默认 值 。 最 后 这 个 字段 表示 所 显示 的 路 由 使 用 的 网 络 接口 。 

用 -i 选项 调用 netstat 命令 可 以 显示 所 有 已 配置 接口 的 一 些 有 用 的 统计 信息 ， 这 是 一 个 用 于 
排除 网 络 故障 非常 有 用 的 工具 。 


9.2.6 Linux 文件 和 目录 管理 


每 种 操作 系统 都 有 自己 独特 的 文件 系统 ， 文 件 系统 包括 了 文件 的 组 织 结构 、 处 理 文件 的 数 
据 结构 和 操作 文件 的 方法 等 。Linux 自行 设计 开发 的 文件 系统 称 为 EXT2，Linux 还 支持 多 种 其 
他 操作 系统 的 文件 系统 ， 例 如 EXT3、XFS，NTFS、NFS 和 SYSV 等 。Linux 利用 虚拟 文件 系 
统 VFS 屏蔽 了 各 种 文件 系统 之 间 的 差别 ， 为 处 理 各 种 不 同文 件 系统 提 供 了 统一 的 接口 。 

1，Linux 文件 组 织 与 结构 


1) Linux 文件 组 织 

文件 系统 组 织 是 指 文件 存在 的 物理 空间 ，Linux 系统 中 的 每 个 分 区 都 是 一 个 文件 系统 ， 都 
有 自己 的 目录 层次 结构 。Linux 将 这 些 分 属 不 同 分 区 的 、 单 独 的 文件 系统 按 一 定 的 方式 形成 一 
个 系统 的 总 目录 层次 结构 。 

Linux 文件 系统 使 用 索引 节点 来 记录 文件 信息 ， 作 用 与 Windows 的 文件 分 配 表 类 似 。 索 引 
节点 是 一 个 数据 结构 ， 它 包含 了 一 个 文件 的 文件 名 、 位 置 、 大 小 、 建 立 或 修改 时 间 、 访问 权 限 、 
所 属 关系 等 文件 控制 信息 。 一 个 文件 系统 维护 了 一 个 索引 节点 的 数组 ， 每 个 文件 或 目录 都 与 索 
引 节 点 数组 中 的 唯一 一 个 元 素 对 应 。 系 统 为 每 个 索引 节点 分 配 了 一 个 号 码 ， 也 就 是 该 节点 在 数 
组 中 的 索引 号 ， 称 为 索引 节点 号 。 
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Linux 文件 系统 将 文件 索引 节点 号 和 文件 名 同时 保存 在 目录 中 。 所 以 ， 目 录 只 是 将 文件 的 
名 称 和 它 的 索引 节点 号 结合 在 一 起 的 一 张 表 ， 目 录 中 每 一 对 文件 名 称 和 索引 节点 号 称 为 一 个 
连接 。 

对 于 每 个 文件 都 有 一 个 唯一 的 索引 节点 号 与 之 对 应 ， 而 对 于 一 个 索引 节点 号 ， 却 可 以 有 多 
个 文件 名 与 之 对 应 。 因 此 ， 在 磁盘 上 的 同一 个 文件 可 以 通过 不 同 的 路 径 去 访问 它 。Linux 操作 
系统 可 以 用 hh 命令 对 一 个 已 经 存在 的 文件 再 建立 一 个 新 的 连接 ,而 不 复制 文件 的 内 容 。 连 接 有 
软 连接 和 硬 连接 之 分 ， 软 连接 又 叫 符号 连接 。 

2) Linux 文件 结构 

Linux 使 用 标准 的 目录 结构 ， 在 安装 的 时 候 ， 安 装 程序 就 已 经 为 用 户 创建 了 文件 系统 和 完 
整 而 固定 的 目录 组 成 形式 ， 并 指定 了 每 个 目录 的 作用 和 其 中 的 文件 类 型 。Linux 的 文件 系统 是 
操作 系统 的 重要 组 成 部 分 之 一 ， 和 其 他 操作 系统 一 样 用 于 管理 和 存储 文件 。 

Linux 文件 系统 采用 了 多 级 目录 的 树 型 层次 结构 管理 文件 。 树 型 结构 的 最 上 层 是 根 目录 ， 
用 “/ ”表示 ， 其 他 的 所 有 目录 都 是 从 根 目 录 出 发 生成 的 。Linux 将 所 有 的 软件 、 硬 件 都 作为 
文件 来 管理 ， 每 个 文件 被 保存 在 目录 中 。Linux 在 安装 时 系统 会 创建 一 些 默认 的 目录 ， 而 每 个 
目录 都 有 其 特殊 的 功能 ， 用 户 不 能 随意 修改 和 删除 。 微 软 的 DOS 和 Windows 也 是 采用 树 型 结 
构 ， 但 是 在 DOS 和 Windows 中 这 样 的 树 型 结构 的 根 是 磁盘 分 区 的 盘 符 ， 有 几 个 分 区 就 有 几 个 
树 型 结构 ， 它 们 之 间 的 关系 是 并 列 的 。 而 在 Linux 中 ， 无 论 操作 系统 管理 几 个 磁盘 分 区 ， 这 样 
的 目录 树 只 有 一 个 。 

3) Linux 文件 挂 载 

Linux 系统 中 的 每 个 分 区 都 是 一 个 文件 系统 , 都 有 自己 的 目录 层次 结构 。Linux 会 将 这 些 分 
属 不 同 分 区 的 、 单 独 的 文件 系统 按 一 定 的 方式 形成 一 个 系统 的 、 总 的 目录 层次 结构 。 这 里 所 说 
的 “ 按 一 定 方式 ”就 是 指 的 挂 载 。 所 谓 挂 载 ， 就 是 将 一 个 文件 系统 的 项 层 目 录 挂 到 另 一 个 文件 
系统 的 子 目 录 上 ， 使 它们 成 为 一 个 整体 ， 上 一 层 文 件 系统 的 子 目 录 就 称 为 挂 载 点 。 这 里 要 注意 
以 下 两 个 问题 。 


(1) 挂 载 点 必须 是 一 个 目录 ， 而 不 能 是 一 个 文件 。 
(2) 一 个 分 区 挂 载 在 一 个 已 存在 的 目录 上 ， 这 个 目录 可 以 不 为 室 ， 但 挂 载 后 这 个 目录 下 以 
前 的 内 容 将 不 可 用 。 


对 于 其 他 操作 系统 建立 的 文件 系统 的 挂 载 也 是 这 样 。 但 是 需要 注意 的 是 ， 对 于 光盘 、 软 盘 
等 硬件 存储 设备 ， 其 他 操作 系统 使 用 的 文件 系统 格式 与 Linux 使 用 的 文件 系统 格式 可 能 是 不 一 
样 的 ， 在 挂 载 前 要 了 解 Linux 是 否 支持 所 要 挂 载 的 文件 系统 格式 。 
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2. Linux 文件 类 型 与 访问 权限 


1) 文件 名 与 文件 类 型 

Linux 文件 名 的 规则 与 Windows 9x 中 的 基本 上 是 相同 的 。 它 同样 是 由 字母 、 数 字 、 下 画 线 、 
圆 点 组 成 ， 最 大 的 长 度 是 255 个 字符 。 

Linux 文件 系统 一 般 包括 5 种 基本 文件 类 型 ， 即 普通 文件 、 目 录 文 件 、 链 接 文件 、 设 备 文 
件 和 管道 文件 。 

(1) 普通 文件 : 计算 机 用 户 和 操作 系统 用 于 存放 数据 、 程 序 等 信息 的 文件 ， 一 般 又 分 为 文 
本 文件 和 二 进 制 文件 ， 例 如 C 语言 源 代 码 、Shell 脚本 、 二 进 制 的 可 执行 文件 等 。 

(2) 目录 文件 : 目录 文件 是 文件 系统 中 一 个 目录 所 包含 的 目录 项 组 成 的 文件 , 包括 文件 名 、 
子 目录 名 及 其 指针 。 用 户 进程 可 以 读 取 目录 文件 ， 但 不 能 对 它们 进行 修改 。 

(3) 链接 文件 : 链接 文件 又 称 符号 链接 文件 ， 通 过 在 不 同 的 文件 系统 之 间 建 立 链接 关系 来 
实现 对 文件 的 访问 ， 它 提供 了 共享 文件 的 一 种 方法 。 

(4) 设备 文件 ， 在 Linux 系统 中 ， 把 每 一 种 IO 设备 都 映射 成 为 一 个 设备 文件 ， 可 以 像 普 
通 文 件 一 样 处 理 ， 这 就 使 得 文件 与 设备 的 操作 尽 可 能 统一 。 

(5) 管道 文件 ， 主 要 用 于 在 进程 间 传 递 数 据 。Linux 对 管道 的 操作 与 文件 操作 相同 ， 它 把 
管道 作为 文件 进行 处 理 。 管 道 文件 又 称 先进 先 出 〈FIFO) 文件 。 

从 对 文件 内 容 处 理 的 角度 而 言 ， 无 论 是 哪 种 类 型 的 文件 ，Linux 都 把 它们 看 作 是 无 结构 的 
流 式 文件 ， 即 把 文件 的 内 容 看 作 是 一 系列 有 序 的 字符 流 。 

2) 文件 和 目录 访问 权限 

在 Linux 这 样 的 多 用 户 操作 系统 中 ， 为 了 保证 文件 信息 的 安全 ，Linux 给 每 个 文件 都 设 定 
了 一 定 的 访问 权限 。Linux 中 的 每 一 个 文件 都 归 某 一 个 特定 的 用 户 所 有 ， 而 且 一 个 用 户 一 般 总 
是 与 某 个 用 户 组 相关 。Linux 对 文件 的 访问 设 定 了 三 级 权限 : 文件 所 有 者 、 与 文件 所 有 者 同 组 
的 用 户 及 其 他 用 户 。 对 文件 的 访问 主要 是 三 种 处 理 操作 : 读 取 、 写 入 和 执行 。 三 级 访问 权限 和 
三 种 处 理 操作 组 合 就 形成 了 9 种 情况 ， 可 以 用 它 来 确定 哪个 用 户 可 以 通过 何 种 方式 对 文件 和 目 
录 进 行 访问 和 操作 。 同 时 ， 用 户 可 以 为 自己 的 文件 赋予 适当 的 权限 ， 以 保证 他 人 不 能 修改 和 访 
问 。 当 用 ls -1 命令 显示 文件 或 目录 的 详细 信息 时 , 每 一 个 文件 或 目录 的 列表 信息 分 为 4 个 部 分 ， 
其 中 最 左边 的 一 位 是 第 一 部 分 , 标识 Linux 操作 系统 的 文件 类 型 其余 三 部 分 是 三 组 访问 权限 
每 组 用 三 位 表示 ， 如 图 9-25 所 示 。 
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文件 类 型 用 户 权限 。 用 户 组 权限 其 他 用 户 权限 
图 9-25 文件 权限 


在 文件 被 创建 时 ,文件 所 有 者 可 以 对 该 文件 的 权限 进行 设置 。 在 默认 情况 下， 系统 将 创建 
的 普通 文件 的 权限 设置 为 -rw-rr-， 即 文件 所 有 者 对 该 文件 可 读 可 写 (rw)， 而 同 组 用 户 和 其 他 
用 户 都 只 可 读 ; 同样 ， 在 默认 配置 中 ， 将 每 一 个 用 户 所 有 者 目录 的 权限 都 设置 为 drwx------， 即 
只 有 文件 所 有 者 对 该 目录 可 读 、 可 写 和 可 查询 (rwx)， 即 用 户 不 能 读 其 他 用 户 目录 中 的 内 容 。 


3. Linux 文件 和 目录 操作 命令 


(1) cat 命令 。cat 命令 用 来 在 屏幕 上 滚动 显示 文件 的 内 容 ， 如 同 DOS 下 的 type 命令 。cat 
命令 也 可 以 同时 查看 多 个 文件 的 内 容 ， 还 可 以 用 来 合并 文件 。cat 命令 的 一 般 格式 如 下 。 
cat [- 选 项 ] fleName [filename2] … [fileNameN] 


重要 选项 参数 说 明 如 下 。 

。  -n; 由 1 开始 对 文件 所 有 输出 的 行 数 编号 。 

。 ”-b: 和 -n 相似 ， 只 不 过 对 于 空白 行 不 编号 。 

。 ”-s: 当 遇 到 有 连续 两 行 以 上 的 空白 行 时 就 替换 为 一 个 空白 行 。 

。 -Vv: 显示 非 打 印字 符 。 

(2) more 命令 。 如 果 文本 文件 比较 长 ， 一 屏 显示 不 完 ， 这 时 可 以 使 用 more 命令 将 文件 内 
容 分 屏 显示 。 每 次 显示 一 屏 文本 ， 显 示 满 屏 后 停 下 来 ， 并 提示 已 显示 文件 内 容 的 百分比 ， 按 空 
格 键 继续 显示 下 一 屏 。 如 同 DOS 下 带 参数 的 type/p 命令 。 

(3) less 命令 。less 命令 的 功能 与 more 命令 很 相似 ， 也 是 按 页 显示 文件 ， 不 同 的 是 less 命 
令 在 显示 文件 时 允许 用 户 既 可 以 向 前 也 可 以 向 后 翻阅 文件 。 按 B 键 向 前 翻 页 显示 ; 按 了 键 向 后 
翻 页 显示 ; 输入 百分比 显示 指定 位 置 ; 按 Q 键 退出 显示 。 

(4) 文件 复制 命令 cp。cp 命令 的 功能 是 把 指定 的 源 文件 复制 到 目标 文件 或 是 把 多 个 源 文 
件 复制 到 目标 目录 中 。 如 同 DOS 下 的 copy 命令 一 样 。cp 命令 的 一 般 格式 如 下 。 


cp [- 选 项 ] sourcefileName | directorydestfileName | directory 


EE 
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重要 选项 参数 说 明 如 下 。 
。 ”-a: 整个 目录 复制 。 它 保留 链接 、 文 件 属性 ， 并 递归 地 复制 子 目录 。 
。 ”下 : 删 除 已 经 存在 的 目标 文件 且 不 提示 。 
。 -和 工 选 项 相反 ， 在 覆盖 目标 文件 之 前 将 给 出 提示 要 求 用 户 确认 。 回 答 y 时 目标 文 
件 将 被 覆盖 ， 是 交互 式 复制 。 
。 -p: 此 时 cp 除 复制 源 文件 的 内 容 外 ， 还 把 其 修改 时 间 以 及 访问 权限 也 复制 到 新 文 
件 中 。 
。 -有 R: 若 给 出 的 源 文件 是 一 个 目录 文件 ， 此 时 ，cp 将 递归 复制 该 目录 下 所 有 的 子 目 录 和 
文件 。 此 时 目标 文件 必须 为 一 个 目录 名 。 
。 -不 作 复制 ， 只 是 链接 文件 。 
需要 说 明 的 是 ， 为 防止 用 户 在 不 经 意 的 情况 下 用 cp 命令 破坏 另 一 个 文件 ， 如 用 户 指定 的 
目标 文件 名 是 一 个 已 存在 的 文件 名 , 用 cp 命令 复制 文件 后 , 这 个 文件 就 会 被 新 复制 的 源 文件 覆 
盖 ， 因 此 ， 一 般 在 使 用 cp 命令 复制 文件 时 使 用 -i 选项 。 
(5) 文 件 移动 命令 mv。 mv 命令 为 文件 或 目录 改名 或 将 文件 由 一 个 目录 移入 另 一 个 目录 中 。 
该 命令 相当 于 DOS 下 的 ren 和 move 的 组 合 。mv 命令 的 一 般 格式 如 下 。 
myv [- 选 项 ] sourcefileName | directorydestfileName | directory 
重要 选项 参数 说 明 如 下 。 
。 -i: 交互 方式 操作 。 如 果 mv 操作 将 导致 对 已 存在 的 目标 文件 的 覆盖 ， 此 时 系统 询问 
是 否 重 写 ， 要 求 用 户 回 答 y 或 na， 这 样 可 以 避免 误 覆 盖 文 件 。 
。 -上 禁止 交互 操作 。 在 mv 操作 要 覆盖 某 已 有 的 目标 文件 时 不 给 任何 指示 ， 指 定 此 选 
项 后 ，i 选项 将 不 再 起 作用 。 
根据 mv 命令 中 第 二 个 参数 类 型 的 不 同 (是 目标 文件 还 是 目标 目录 ) ,mv 命令 将 文件 重 命 
名 或 将 其 移 至 一 个 新 的 目录 中 。 当 第 二 个 参数 类 型 是 文件 时 ，myv 命令 完成 文件 重 命名 ， 此 时 ， 
源 文件 只 能 有 一 个 (也 可 以 是 源 目录 名 ) ， 它 将 所 给 的 源 文件 或 目录 重 命名 为 给 定 的 目标 文件 
名 。 当 第 二 个 参数 是 已 存在 的 目录 名 称 时 ， 源 文件 或 目录 参数 可 以 有 多 个 ，mv 命令 将 各 参数 
指定 的 源 文件 均 移 至 目标 目录 中 。 在 跨 文 件 系 统 移动 文件 时 ，myv 先 复制 ， 再 将 原 有 文件 删除 ， 
而 链 至 该 文件 的 链接 也 将 丢失 。 
需要 注意 的 是 ，myv 与 cp 的 结果 不 同 。mv 好 像 文件 “搬家 ”， 文 件 个 数 并 未 增加 ; 而 cp 
对 文件 进行 复制 ， 文 件 个 数 增加 了 。 
(6) 文件 删除 命令 mm。 mm 命令 的 功能 是 删除 指定 的 一 个 目录 中 的 一 个 或 多 个 文件 或 目录 ， 
它 也 可 以 将 某 个 目录 及 其 下 的 所 有 文件 及 子 目录 均 删 除 。 对 于 链接 文件 ， 只 是 删除 了 链接 ， 原 
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有 文件 均 保 持 不 变 。rm 命令 的 一 般 格式 如 下 。 


rm [- 选 项 ] fleName | directory… 


重要 选项 参数 说 明 如 下 。 
。 ”二 忽略 不 存在 的 文件 ， 从 不 给 出 提示 。 

。 -指示 mm 将 参数 中 列 出 的 全 部 目录 和 子 目 录 均 递归 地 删除 。 

。 ”i 进行 交互 式 删 除 。 

在 使 用 mm 命令 时 要 格外 小 心 ， 因 为 一 旦 文件 被 删除 ， 它 是 不 能 被 恢复 的 。 为 了 防止 此 种 
情况 的 发 生 ， 可 以 使 用 mm 命令 中 的 -i 选项 来 确认 要 删除 的 每 个 文件 ， 如 果 用 户 输入 y， 文 件 将 
被 删除 ， 否 则 文件 将 被 保留。 

(7) 创建 目录 命令 mkdir。 mkdir 命令 的 功能 是 在 当前 目录 中 建立 一 个 指定 的 目录 。 要 求 创 
建 目录 的 用 户 在 当前 目录 中 具有 写 权 限 ， 并 且 当前 目录 中 没有 与 之 相同 的 目录 或 文件 名 称 。 它 
类 似 DOS 下 的 md 命令 。mkdir 命令 的 一 般 格式 如 下 。 


mkdir [- 选 项 ] dirName 


重要 选项 参数 说 明 如 下 。 
。 ”-m:; 对 新 建 目录 设置 存 取 权 限 ， 也 可 以 用 chmod 命令 设置 。 
。 ”-p: 可 以 是 一 个 路 径 名 称 。 此 时 若 路 径 中 的 某 些 目录 尚 不 存在 ， 加 上 此 选项 后 ， 系 统 
将 自动 建 好 那些 尚 不 存在 的 目录 ， 即 一 次 可 以 建立 多 个 目录 。 
(8) 删除 目录 命令 mdir。rmdir 命令 的 功能 是 从 一 个 目录 中 删除 一 个 或 多 个 子 目 录 项 。 在 
删除 某 目录 时 也 必须 具有 对 当前 目录 的 写 权 限 。rmdir 命令 的 一 般 格 式 如 下 。 
rmdir [- 选 项 ] dirName 


最 常用 的 参数 选项 是 -p， 其 作用 是 递归 删除 目录 ， 当 子 目录 删除 后 其 父 目录 为 空 时 ， 也 一 
同 被 删除 。 

例如 运行 下 列 命令 。 

[root@redhat-64 ~]}# rmdir -p /usr/tmp 


把 /usrtmp 目录 删除 。 

(9) 改变 目录 命令 cd。cd 命令 的 功能 是 将 当前 目录 改变 到 指定 的 目录 ， 若 没有 指定 目录 ， 
则 显示 用 户 当 前 所 在 的 主 目录 路 径 。cd 命令 为 了 改变 到 指定 目录 ,用户 必须 拥有 对 指定 目录 的 
执行 和 读 权限 。cd 命令 的 一 般 格 式 如 下 。 


cd [directory] 
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cd 命令 的 使 用 与 DOS 下 的 cd 命令 基本 相同 ， 需 要 注意 的 是 ， 不 管 目录 名 是 什么 ，ed 与 
目录 名 之 间 必 须 有 空格 。 如 果 直接 输入 命令 cd， 而 不 加 任何 参数 ， 则 回 到 当前 用 户 的 主 目录 。 
例如 ， 假 设 用 户 当前 目录 是 /home/sun， 现 需要 更 换 到 /home/sun/pro 目录 中 。 


[root@redhat-64 ~]#cd pro 


此 时 ， 用 户 可 以 执行 pwd 命令 来 显示 工作 目录 。 
(10) 显示 当前 目录 命令 pwd。pwd 命令 的 功能 是 显示 用 户 当前 所 处 的 目录 ， 该 命令 显示 
整个 路 径 名 ， 并 且 显 示 的 是 当前 工作 目录 的 绝对 路 径 。pwd 命令 的 一 般 格式 如 下 。 


pwd 
例如 ， 在 /home/sun 目录 下 运行 命令 。 
[root@redhat-64 ~]#pwd 


显示 的 路 径 名 为 home/sun， 每 个 目录 名 都 用 “/” 隔 开 ， 根 目录 以 开头 的 “/” 表 示 。 

(11) 列 目录 命令 ls。ls 命令 是 英文 单词 list 的 简写 ， 其 功能 为 列 出 当前 目录 的 内 容 。 这 是 
Linux 系统 中 用 户 最 常用 和 最 重要 的 命令 之 一 ， 因 为 用 户 需要 不 时 地 查看 某 个 目录 的 内 容 。 对 
于 每 个 目录 ，ls 命令 将 列 出 其 中 的 所 有 子 目 录 与 文件 。 对 于 每 个 文件 ，ls 将 列 出 其 文件 名 以 及 
根据 命令 参数 所 要 求 的 其 他 信息 。 默 认 情 况 下 ， 输 出 条 目 按 字 母 顺序 排列 。 如 果 未 给 出 目录 名 
或 是 文件 名 ， 则 显示 当前 目录 的 信息 。 该 命令 类 似 于 DOS 下 的 dir 命令 。ls 命令 的 一 般 格 式 
如 下 。 

ls [- 选 项 ]fileName | directory 


重要 选项 参数 说 明 如 下 。 
。 ”-a: 显示 指定 目录 下 所 有 子 目录 与 文件 ， 包 括 隐藏 文件 。 
。 ”-c: 按 文 件 的 修改 时 间 排序 。 
。 ”-d: 如 果 参 数 是 目录 ， 只 显示 其 名 称 而 不 显示 其 下 的 各 文件 。 
。 -1 在 输出 的 第 一 列 显示 文件 的 1 节点 号 。 
。 ”-l: 以 长 格式 来 显示 文件 的 详细 信息 ， 这 是 ls 命令 最 常用 的 参数 。 使 用 -1 参数 每 行列 
出 的 信息 依次 是 文件 类 型 与 访问 权限 、 链 接 数 、 文 件 所 有 者 、 文 件 属 组 、 文 件 大 小 、 
建立 或 最 近 修 改 的 时 间 和 名 字 。 
(12) 文件 访问 权限 命令 chmod。chmod 命令 用 于 改变 文件 或 目录 的 访问 权限 ， 这 是 Linux 
系统 管理 员 最 常用 到 的 命令 之 一 。 默 认 情况 下 , 系统 将 新 创建 的 普通 文件 的 权限 设置 为 -rw-rr-， 
将 每 一 个 用 户 所 有 者 目录 的 权限 都 设置 为 drwx------。 用 户 根据 需要 可 以 通过 命令 修改 文件 和 目 
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录 的 默认 存 取 权限 。 只 有 文件 所 有 者 或 超级 用 户 root 才 有 权 用 chmod 改变 文件 或 目录 的 访问 权 
限 。chmod 命令 的 一 般 格 式 如 下 。 


chmod [- 选 项 ] mode fileName… 


重要 选项 参数 说 明 如 下 。 

。 ”-c; 车 该 档案 权限 确实 已 经 更 改 ， 才 显示 其 更 改动 作 。 

。 -Vv， 显示 权限 变更 的 详细 资料 。 

。 ”-R: 对 当前 目录 下 的 所 有 文件 与 子 目录 进行 相同 的 权限 变更 。 
。 ”-mode: 权限 设 定 字符 串 。 字 符 中 格式 为 : 


[agoa…][I+ 一 ErwxX]…][] 


其 中 ，u 表示 文件 的 所 有 者 、g 表示 与 文件 的 所 有 者 属于 同一 个 组 (group) 者 、o 表示 其 他 的 
人 、a 表 示 这 三 者 都 是 ，+ 表 示 增 加 权限 、- 表 示 取 消 权 限 、= 表 示 唯 一 设 定 权 限 ; r 表示 可 读 取 、 
WwW 表示 可 写 入 、x 表示 可 执行 、X 表示 只 有 当 该 文件 是 一 个 子 目录 或 文件 已 经 被 设 定 过 时 可 
执行 。 

例如 ， 运 行 命令 : 

[root@redhat-64 ~]#chmod gtrw myfile.txt 


可 以 为 同 组 用 户 增加 对 文件 myfile.txt 的 读 / 写 权限 。 

(13) 文件 链接 命令 In。lIn 命令 的 功能 是 在 文件 之 间 创 建 链接 。 这 种 操作 实际 上 是 给 系统 
中 己 有 的 某 个 文件 指定 另外 一 个 可 用 于 访问 它 的 名 称 。 对 于 这 个 新 的 文件 名 ， 可 以 为 其 指定 不 
同 的 访问 权限 ， 以 控制 对 信息 的 共享 和 安全 性 的 问题 。 如 果 链接 指向 目录 ， 用 户 就 可 以 利用 该 
链接 直接 进入 被 链接 的 目录 而 不 用 输入 复杂 的 路 径 名 。 而 且 ， 即 使 删除 这 个 链接 ， 也 不 会 破坏 
原来 的 目录 。hn 命令 的 一 般 格式 如 下 。 


ln [- 选 项 ]sourcefileName | directorydestfileName | directory 
E 要 选项 参数 说 明 如 下 。 
二 文件 链接 时 先 将 与 dest 同文 件 名 的 文件 删除 。 
。 ”-d: 允许 系统 管理 者 硬 链接 自己 的 目录 。 
1 
S 


®. ly 


-i: 在 删除 与 dest 同文 件 名 的 文件 时 先进 行 询问 。 
-s: 进行 符号 链接 (symbolic link) 。 
-v: 在 文件 链接 之 前 显示 其 文件 名 。 
。 ”-b: 将 在 链接 时 会 被 覆 写 或 删除 的 文件 进行 备份 。 
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如 果 给 mm 命令 加 上 -s 选项 ， 则 建立 符号 链接 。 如 果 “ 链 接 名 ”已 经 存在 但 不 是 目录 ， 将 不 
做 链接 。“ 链 接 名 ”可 以 是 任何 一 个 文件 名 〈 可 包含 路 径 ) ， 也 可 以 是 一 个 目录 ， 并 且 人 允许 它 
与 “目标 ”不 在 同一 个 文件 系统 中 。 如 果 “ 链 接 名 ”是 一 个 已 经 存在 的 目录 ， 系 统 将 在 该 目录 
下 建立 一 个 或 多 个 与 “目标 ”同名 的 文件 ， 此 新 建 的 文件 实际 上 是 指向 原 “ 目 标 ” 的 符号 链接 
交 件 。 

例如 运行 命令 : 

[root@redhat-64 ~]#ln - s lunch /home/sun 
用 户 为 当前 目录 下 的 文件 lunch 创建 了 一 个 符号 链接 /home/sun。 


9.2.7 Linux 用 户 和 组 管理 


Linux 系统 是 一 个 多 用 户 、 多 任务 的 分 时 操作 系统 ， 在 Linux 中 用 户 和 用 户 组 管理 是 系统 
管理 的 重要 内 容 。Linux 系统 将 用 户 分 为 组 群 管理 以 简化 访问 控制 ， 以 避免 为 众多 用 户 分 别 设 
置 权限 。 本 节 的 内 容 主 要 讨论 如 何在 命令 行 界面 下 完成 用 户 账号 、 组 的 建立 和 维护 等 问题 。 


1. 用 户 管理 概述 


在 Linux 操作 系统 中 ,每 个 文件 和 程序 必须 属于 某 一 个 “用 户 ”， 每 个 用 户 对 应 一 个 账号 。 
在 Red Hat Linux 安装 完成 后 ， 系 统 本 身 已 创建 了 一 些 特殊 用 户 ， 它 们 具有 特殊 的 意义 ， 其 中 最 
重要 的 是 超级 用 户 ， 即 根 用 户 root。 
超级 用 户 root 承担 了 系统 管理 的 一 切 任务 ， 可 以 控制 所 有 的 程序 ， 访 问 所 有 文件 ， 使 用 系 
统 中 的 所 有 功能 和 资源 。Linux 系统 中 其 他 的 一 些 组 群 和 用 户 都 是 由 root 来 创建 的 。 
用 户 和 组 群 管理 的 基本 概念 如 下 。 
e。 ”用 户 标 识 CUID) : 系统 中 用 来 标识 用 户 的 数字 。 
。 ”用 户主 目录 : 也 就 是 用 户 的 起 始 工作 目录 ， 它 是 用 户 在 登录 系统 后 所 在 的 目录 ， 用 户 
的 文件 都 放置 在 此 目录 下 。 在 大 多 数 系统 中 ， 各 用 户 的 主 目录 都 被 组 织 在 同一 个 特定 
的 目录 下 ， 而 用 户主 目录 的 名 称 就 是 该 用 户 的 登录 名 。 
。 ”登录 Shell: 用 户 登录 后 启动 以 接收 用 户 的 输入 并 执行 输入 相应 命令 的 脚本 程序 ， 即 
Shell，Shell 是 用 户 与 Linux 系统 之 间 的 接口 。 
。 用户 组 /组 群 : 具有 相似 属性 的 多 个 用 户 被 分 配 到 一 个 组 中 。 
。 组 标识 (GID) : 用 来 表示 用 户 组 的 数字 标识 。 
超级 用 户 在 系统 中 的 用 户 ID 和 组 DD 都 是 0, 普通 用 户 的 用 户 ID (UID) 从 500 开始 编号 ， 
并 且 默 认 属 于 与 用 户 名 同名 的 组 ,组 ID 〈(GID) 也 从 500 开始 编号 。 
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2. 用 户 管理 配置 文件 


Linux 系统 中 用 户 和 组 群 的 管理 是 通过 对 有 关 的 系统 文件 进行 修改 和 维护 实现 的 ， 与 用 户 
和 用 户 组 相关 的 管理 维护 信息 都 存放 在 一 些 系统 文件 中 ， 其 中 较为 重要 的 文件 有 /etc/passwd、 
/etc/shadow 和 /etc/group 等 。 

(1) /etc/passwd 文件 。/etc/passwd 文件 是 Linux 系统 中 用 于 用 户 管理 的 最 重要 的 文件 ， 这 
个 文件 对 所 有 用 户 都 是 可 读 的 。Linux 系统 中 的 每 个 用 户 在 /etc/passwd 文件 中 都 有 一 行 对 应 的 
记录 ， 每 一 记录 行 都 用 冒号 〈: ) 分 为 7 个 域 ， 记 录 了 这 个 用 户 的 基本 属性 。 记 录 行 的 形式 
如 下 。 

用 户 名 : 加 密 的 口令 : 用 户 ID: 组 IJD: 用 户 的 全 名 或 描述 : 登录 目录 : 登录 shell 


其 中 , 用 户 ID (UID) 对 于 每 一 个 用 户 必 须 是 唯一 的 ， 系 统 内 部 用 它 来 标识 用 户 ， 一 般 情 况 下 
它 与 用 户 名 是 一 一 对 应 的 。 如 果 几 个 用 户 名 对 应 了 同一 个 用 户 标识 号 ， 那 么 系统 内 部 将 把 它们 
视 为 具有 不 同 用 户 名 的 同一 个 用 户 ， 但 是 它们 可 以 有 不 同 的 口令 、 不 同 的 主 目录 以 及 不 同 的 登 
录 shell 等 。 编号 0 是 root 用 户 的 UID, 编号 1 一 99 是 系统 保留 的 UID, 100 以 上 给 用 户 做 标识 。 
Linux 系统 把 每 一 个 用 户 仅仅 看 成 是 一 个 数字 ， 即 用 每 个 用 户 唯一 的 用 户 ID 来 识别 ， 配 置 文件 
/etc/passwd 给 出 了 系统 用 户 ID 与 用 户 名 之 间 及 其 他 信息 的 对 应 关系 。 

由 于 /etc/passwd 文件 对 所 有 用 户 都 可 读 ， 所 以 目前 许多 Linux 系统 都 使 用 了 shadow 技术 ， 
把 真正 的 加 密 后 的 用 户口 令 字 存放 到 /etc/shadow 文件 中 ， 而 在 /etc/passwd 文件 的 口令 字段 中 只 
存放 一 个 特殊 的 字符 ， 例 如 x 或 者 “*”， 并 且 该 文件 只 有 根 用 户 root 可 读 ， 因 而 大 大 提高 了 系 
统 的 安全 性 。 

(2) /etc/shadow 文件 。 为 了 保证 系统 中 用 户 的 安全 性 ，Linux 系统 另外 建立 了 一 个 只 有 超 
级 用 户 root 能 读 的 文件 /etc/shadow， 该 文件 包含 了 系统 中 的 所 有 用 户 及 其 口令 等 相关 信息 。 每 
个 用 户 在 该 文件 中 对 应 一 行 ， 并 且 用 冒号 〈: ) 分 成 9 个 域 。 每 一 行 包括 以 下 内 容 : 

G@ 用 户 登录 名 ; 

@ 用 户 加 密 后 的 口令 〈 若 为 室 ， 表 示 该 用 户 不 需 口令 即 可 登录 ; 若 为 * 号 ,表示 该 账号 被 
禁止 ) ; 

@ 从 1970 年 1 月 1 日 至 口令 最 近 一 次 被 修改 的 天 数 ; 

@ 口令 在 多 少 天 内 不 能 被 用 户 修改 ; 

@@ 口令 在 多 少 天 后 必须 被 修改 ; 

@ 口令 过 期 多 少 天 后 用 户 账号 被 禁止 ; 

@ 口令 在 到 期 多 少 天 内 给 用 户 发 出 警告 ; 

口令 自 1970 年 1 月 1 日 起 被 禁止 的 天 数 ; 
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@ 保留 域 。 

(3) /etc/group 文件 。 在 Linux 系统 中 , 使 用 组 来 赋予 同 组 的 多 个 用 户 相同 的 文件 访问 权限 。 
一 个 用 户 也 可 以 同时 属于 多 个 组 。 管理 用 户 组 的 基本 文件 是 /etc/group， 与 用 户 账号 基本 文件 相 
似 ， 每 个 组 在 文件 /etc/group 中 也 有 一 行 记录 与 之 对 应 ， 每 一 行 记录 用 冒号 〈: ) 分 为 4 个 域 ， 
记录 了 这 个 用 户 组 的 基本 属性 信息 。 记 录 行 的 形式 如 下 。 

用 户 组 名 : 加 密 后 的 组 口令 : 组 JP: 组 成 员 列 表 

下 面 是 用 户 组 sys 在 /etc/group 中 对 应 的 记录 行 : 

sys:X:3:Tootbin,adm 


其 代表 的 信息 包括 系统 中 有 一 个 称 为 sys 的 用 户 组 ， 设 有 口令 , 组 ID 为 3， 组 中 的 成 员 有 
root、bin 和 adm3 个 用 户 。 

Linux 在 系统 安装 时 创建 了 一 些 标准 的 用 户 组 ， 在 一 般 情况 下 ， 建 议 不 要 对 这 些 用 户 组 进 
行 删 除 和 修改 。 


3 用户 和 组 管理 命令 


1) 用 户 管理 

用 户 管理 操作 的 工作 就 是 建立 一 个 合法 的 用 户 账 户 、 设 置 和 管理 用 户 的 密码 、 修 改 用 户 账 
户 的 属性 以 及 在 必要 时 删除 已 经 废弃 的 用 户 账号 。 

在 Linux 中 增加 一 个 用 户 就 是 在 系统 中 创建 一 个 新 账号 ， 然 后 为 新 账号 分 配 用 户 号 、 用 户 
组 、 主 目录 和 登录 shell 等 资源 。 在 Linux 系统 中 ， 只 有 具有 超级 用 户 权 限 的 用 户 才能 够 创建 一 
个 新 用 户 。 增 加 一 个 新 用 户 的 命令 格式 如 下 。 


adduser [- 选 项 ] username 


常用 选项 参数 说 明 如 下 。 

。 ”-d: 指定 用 于 取代 默认 /home/usemame 的 用 户主 目录 。 

。 ”-g: 用 户 所属 用 户 组 的 组 名 或 组 ID 〈 用 户 组 在 指定 前 应 存在 ) 。 

。 ”-m: 若 指定 用 户主 目录 不 存在 则 创建 。 

。 ”-p: 使 用 crypt 加 密 的 口令 。 

。 ”-s: 指定 用 户 登录 shell， 默 认为 /bin/bash。 

。 -uuid: 指定 用 户 的 UD， 它 必须 是 唯一 的 ， 且 大 于 499。 

增加 用 户 账号 就 是 在 /etc/passwd 文件 中 为 新 用 户 增加 一 条 记录 ， 同 时 更 新 其 他 系统 文件 ， 
如 /etc/shadow、/etc/group 等 。 
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例如 ， 运 行 下 列 命令 将 新 建 一 个 登录 名 为 userl 的 用 户 。 
[root@redhat-64 ~]# useradd userl 


在 默认 情况 下 ， 将 会 在 home 目录 下 新 建 一 个 与 用 户 名 相同 的 用 户主 目录 。 如 果 需 要 另外 
指定 用 户主 目录 ， 可 以 运行 如 下 命令 。 


[root@redhat-64 ~]# useradd -d /home/lin userl 


在 Linux 中 ， 新 增 一 个 用 户 的 同时 会 创建 一 个 新 组 ， 这 个 组 与 该 用 户 同名 ， 而 这 个 用 户 就 
是 该 组 的 成 员 。 如 果 想 让 新 的 用 户 归 属于 一 个 已 经 存在 的 组 ， 可 以 运行 如 下 命令 。 


[root@redhat-64 ~]# useradd -g manager userl 


这 样 用 户 userl 就 属于 组 manager 中 的 一 员 了 。 

需要 注意 的 是 ， 新 增加 的 这 个 用 户 账号 是 被 锁定 的 ， 无 法 使 用 。 因 为 还 没 给 它 设置 初始 密 
码 , 而 没有 密码 的 用 户 是 不 能 够 登录 系统 的 , 因此 下 面 应 该 使 用 passwd 命令 为 新 建 用 户 设置 一 
个 初始 密码 作为 登录 口令 。 

Linux 系统 出 于 安全 考虑 ， 系 统 中 的 每 一 个 用 户 除 了 用 户 名 外 ， 还 设置 了 登录 系统 的 用 户 
口令 。 用 户 账号 刚 创 建 时 没有 口令 ， 但 是 被 系统 锁定 ， 无 法 使 用 ， 必 须 为 其 指定 口令 后 才 可 以 
使 用 ， 即 使 是 指定 空 口令 。 指 定 和 修改 用 户口 令 的 命令 是 passwd。 超 级 用 户 可 以 为 自己 和 其 他 
用 户 指定 口令 ， 普 通用 户 只 能 用 它 修 改 自己 的 口令 。passwd 命令 的 一 般 格式 如 下 。 


passwd [- 选 项 ] [usemame] 


常用 选项 参数 说 明 如 下 。 
。 ”-l: 锁定 口令 ， 即 禁用 账号 。 
。 -u: 口令 解锁 。 


。 ”-d: 使 账号 无 口令 。 

。 二 强迫 用 户 下 次 登录 时 修改 口令 。 

如 果 不 指 定 用 户 名 ， 则 修改 当前 用 户 自己 的 口令 。 普 通用 户 修改 自己 的 口令 时 ，passwd 命 
令 会 先 询问 原 口 令 ， 验 证 后 再 要 求 用 户 输入 两 遍 新 口令 ， 如 果 两 次 输入 的 口令 一 致 ， 则 将 这 个 
口令 指定 给 用 户 ; 而 超级 用 户 为 用 户 指定 口令 时 就 不 需要 知道 原 口令 。 

例如 ， 超 级 用 户 要 设置 或 改变 用 户 newuser 的 口令 时 可 运行 命令 : 

[root@redhat-64 ~]# passwd newuser 


系统 会 提示 输入 新 的 口令 ， 新 口令 需要 输入 两 次 。 出 于 安全 的 原因 ， 输 入 口令 时 不 会 在 屏幕 上 
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回 显 出 来 。 
有 时 需要 临时 禁止 一 个 用 户 账号 的 使 用 而 不 是 删除 它 ， 可 以 采用 以 下 两 种 方法 实现 临时 禁 
止 一 个 用 户 的 操作 。 


(1) 把 用 户 的 记录 从 /etc/passwd 文件 中 注释 掉 ， 保 留 其 主 目 录 和 其 他 文件 不 变 ; 

(2) 在 /etc/passwd 文件 (或 /etc/shadow) 中 关于 该 用 户 的 passwd 域 的 第 一 个 字符 前 面 加 上 
一 个 人 号 。 

删除 用 户 命令 userdel 的 功能 是 系统 中 如 果 一 个 用 户 的 账号 不 再 使 用 ， 可 以 将 其 从 系统 中 
删除 。 删 除 一 个 用 户 的 命令 格式 如 下 。 


userdel [- 选 项 ] username 


最 常用 的 参数 选项 是 -r， 它 的 作用 是 把 用 户 的 主 目录 一 起 删除 。 

删除 用 户 账号 就 是 要 将 /etc/passwd 等 系统 文件 中 的 该 用 户 记 录 删 除 ， 必 要 时 还 删除 用 户 的 
主 目录 ， 可 以 使 用 “userdel -r 用 户 名 ”来 实现 这 一 目的 。 因 此 ， 完 全 删除 一 个 用 户 包括 : 

(1) 删除 /etc/passwd 文件 中 此 用 户 的 记录 ; 

(2) 删除 /etc/group 文件 中 该 用 户 的 信息 ; 

(3) 删除 用 户 的 主 目录 ; 

(4) 删除 用 户 所 创建 的 或 属于 此 用 户 的 文件 。 

例如 ， 运 行 下 列 命令 。 


[root@redhat-64 ~]# userdel —r userl 


可 以 删除 用 户 userl 在 系统 的 账号 及 其 在 用 户 管理 配置 文件 中 (主要 是 /etc/passwd、/etc/shadow 
和 /etc/group 等 ) 的 记录 ， 同 时 删除 用 户 的 主 目录 。 

用 户 在 系统 使 用 过 程 中 可 以 随时 使 用 su 命令 来 改变 身份 。 例 如 ， 系 统管 理 员 在 平时 工作 
时 可 以 用 普通 账号 登录 ， 在 需要 进行 系统 维护 时 用 su 命令 获得 root 权限 ， 之 后 为 了 安全 再 用 
su 回 到 原 账号 。su 命令 的 一 般 格式 如 下 。 


su [username] 


username 是 要 切换 到 的 用 户 名 ， 如 果 不 指定 用 户 名 ， 则 默认 将 用 户 身份 切换 为 root， 系 统 
会 要 求 给 出 正确 的 口令 。 

2) 用 户 组 管理 

每 个 用 户 都 有 一 个 用 户 组 , 系统 可 以 对 一 个 用 户 组 中 的 所 有 用 户 进行 集中 管理 .默认 Linux 
下 的 用 户 属于 与 它 同名 的 用 户 组 ， 这 个 用 户 组 在 创建 用 户 时 同时 创建 。 与 用 户 管理 相 类 似 ， 用 
户 组 的 管理 包括 组 的 增加 、 删 除 和 修改 ， 实 际 上 就 是 通过 修改 /etc/group 文件 实现 这 些 操作 。 
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Linux 系统 中 将 一 个 新 用 户 组 加 入 系统 的 命令 是 groupadd。 该 命令 的 一 般 格 式 如 下 。 
groupadd [- 选 项 ] groupname 


常用 选项 参数 说 明 如 下 。 

。 ”-g GID: 指定 用 户 组 的 GID， 它 必须 是 唯一 的 ， 且 大 于 499。 

。 <-: 创建 小 于 500 的 系统 用 户 组 。 

。 ”十 若 用 户 组 已 存在 ， 退 出 并 显示 错误 ( 原 用 户 组 不 会 被 改变 )。 

新 建 的 组 默认 使 用 大 于 500 并 大 于 每 个 其 他 组 的 ID 的 最 小 数值 。 如 果 要 指定 组 的 ID， 可 
以 在 命令 中 加 入 -g 参数 。 

如 运行 下 面 的 命令 : 


[root@redhat-64 ~]# groupadd-g 503 newgroup 


将 在 /etc/passwd 文件 中 产生 一 个 GID 为 503 的 用 户 组 newgroup。 
如 果 要 删除 一 个 已 有 的 用 户 组 ， 使 用 groupdel 命令 。 该 命令 的 一 般 格式 如 下 。 


groupdel groupname 
例如 ， 运 行 命令 : 
[root@redhat-64 ~]#groupdel groupl 


运行 后 将 从 系统 中 删除 组 group1。 
删除 一 个 用 户 组 时 要 注意 以 下 几 点 。 
(1) 组 中 的 文件 不 能 自行 删除 ， 也 不 能 自行 改变 文件 所 属 的 组 ; 
(2) 如 果 组 是 用 户 的 基本 组 〈 即 /etc/passwd 文件 中 显示 为 该 用 户 的 组 ) ， 则 这 个 组 无 法 
删除 ; 
(3) 如 果 组 中 有 用 户 在 系统 中 处 于 登录 状态 则 不 能 删除 该 组 ， 最 好 删除 用 户 后 再 删除 组 。 
修改 用 户 组 的 属性 使 用 groupmod 命令 ， 其 格式 如 下 。 


groupmod [- 选 项 ] groupname 


常用 选项 参数 说 明 如 下 。 

。 ”-g: 为 用 户 组 指定 新 的 组 标识 号 。 

。 -: 将 用 户 组 的 名 字 改 为 新 名 字 。 

如 果 需 要 将 一 个 用 户 加 入 一 个 组 , 可 以 通过 编辑 /etc/group 文件 , 将 用 户 名 写 到 组 名 的 后 面 
实现 。/etc/group 文件 的 每 一 行 表示 一 个 组 的 信息 ， 其 中 第 4 个 域 代表 组 内 用 户 的 列表 。 
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例如 ，userl1、user2、user3 都 属于 组 group1， 其 组 的 ID 为 509， 则 组 groupl 的 记录 信息 
如 下 。 
groupl::509:userl, user2, user3 


如 果 要 将 新 用 户 加 入 组 中 , 只 需 在 文件 编辑 器 中 编辑 /etc/group 文件 , 并 将 用 户 名 加 入 组 记 
录 的 用 户 域 列表 中 ， 用 逗号 阳 开 即 可 。 


9.3 Windows Server 2008 R2 IIS 服务 的 配置 


9.3.1 “IIS 服务 器 的 基本 概念 


IIS 即 因 特 网 信息 服务 器 (Internet Information Server)， 是 由 微软 公司 提供 的 基于 Windows 
操作 系统 运行 的 互联 网 基本 服务 ， 在 组 建 局 域 网 时 ， 可 利用 IS 来 构建 WWW 服务 器 、FTP 服 
务 器 和 SMTP 服务 器 等 。IS 服务 提供 了 一 个 功能 全 面 的 软件 包 ， 面 向 不 同 的 应 用 领域 给 出 了 
Internet/Intranet 服务 器 解决 方案 。 在 Windows Server 2008 R2 中 集成 了 IIS 7.5， 在 IS 7.0 模块 
化 的 基础 上 ， 改 进 了 管理 型 和 功能 性 ， 开 始 支持 ASPnet、 更 多 的 PowerShell 命令 行 和 集成 
WebDAV 等 。 

(1) WWW 服务 。WWW (World Wide Web) 是 图 形 最 为 丰富 的 Intemet 服务 ， 具 有 很 强 
的 链接 能 力 , 支持 协作 和 工作 流程 ， 可 以 给 世界 各 地 的 用 户 提供 商业 应 用 程序 。Web 是 Intemet 
上 主机 的 集合 ， 使 用 HTTP 协议 提供 服务 。 基 于 Web 的 信息 使 用 超 文本 标记 语言 ， 以 HTML 
格式 传送 ， 它 不 但 可 以 传送 文本 信息 ， 还 可 以 传送 图 形 、 图 像 、 动 画 、 声 音 和 视频 信息 。 这 些 
特点 使 得 WWW 成 为 遍布 世界 的 信息 交流 的 平台 。 

(2) FTP 服务 。FTP (File Transfer Protocol， 文 件 传输 协议 ) 是 在 Intemet 中 两 个 远程 计算 
机 之 间 传 送 文件 的 协议 。 该 协议 允许 用 户 使 用 FTP 命令 对 远程 计算 机 中 的 文件 系统 进行 操作 。 
通过 FTP 可 以 传送 任意 类 型 、 任 意 大 小 的 文件 .Windows Server 2008 R2 中 的 IS 7.5 内 置 了 FTP 
模块 。 


9.3.2 ”安装 IIS 服务 


不 同 的 Windows 系统 内 置 的 IIS 版 本 是 各 不 相同 的 ，Windows Server 2008 R2 为 IS 7.5， 
默认 状态 下 没有 安装 IS 服务 ， 必 须 手 动 安装 。IIS 7.5 包含 了 Web 服务 器 和 FTP 服务器， 安装 
IIS 服务 需要 加 载 以 下 模块 。 

。 ”Web 服务 器 : 提供 对 HIML 网 站 的 支持 和 ASP、ASPNET 以 及 Web 服务 器 扩展 的 可 
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选 支持 。 可 以 使 用 Web 服务 器 来 承载 内 部 或 外 部 网 站 ， 为 开发 人 员 提 供 创建 给 予 
Web 的 应 用 程序 的 环境 。 
。 ”管理 工具 : 提供 用 于 管理 TS 的 Web 服务 器 的 基础 结构 。 可 以 使 用 IS 用 户 界面 、 命 
令 行 工具 和 脚本 来 管理 Web 服务 器 和 编辑 配置 文件 。 
。 FTP 服务 器 : 支持 文件 传输 协议 ， 人 允许 建立 FTP 站 点 ， 用 于 上 传 和 下 载 文 件 。 
IIS 服务 的 安装 过 程 非常 简单 。 选 择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”一 “ 角 
色 ” 命 令 ， 在 打开 的 窗口 中 单 击 “ 添 加 角色 ”按钮 ， 启 动 Windows 添加 角色 向 导 。 在 “角色 ” 
列表 框 中 勾 选 “Web 服务 器 (IIS)” 复 选 框 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 9-26 所 示 。 
在 “角色 服务 ”列表 框 中 勾 选 “Web 服务 器 ”“ 管 理工 具 ”“FTP 服务 器 ” 复 选 框 ， 然 后 单 
击 “ 下 一 步 ” 按 钮 ， 如 图 9-27 所 示 。IIS 7.5 被 分 割 成 了 40 多 个 不 同 功能 的 模块 ， 管 理 员 可 以 
单 击 田 展开 详细 服务 列表 , 根据 需要 安装 相应 的 角色 服务 , 可 以 使 Web 网 站 的 受 攻击 面 减少 ， 


安全 性 和 性 能 大 大 提高 。 


图 9-26 安装 IIS 服务 (1) 图 9-27 ”安装 IS 服务 (2) 
单 击 “安装 ”按钮 ， 按 照 系统 提示 继续 操作 ， 直 到 完成 安装 。 


9.3.3 配置 Web 服务 器 


1. 网 站 基本 配置 


通过 “管理 工具 ”中 的 “Intemet 信息 服务 (LIS) 管理 器 ”来 管理 网 站 ， 然 后 在 弹出 的 窗 
口中 选择 “Intemet 信息 服务 (IIS) 管理 器 ”项 打开 IIS 主 界面 ， 看 到 名 为 “Default Web Site” 
的 默认 网 站 。 

1) 网 站 基本 配置 

单 击 默认 网 站 右 侧 “ 操 作 ” 窗 口中 的 “基本 设置 ? 可 以 修改 网 站 名 称 和 物理 路 径 ， 物 理 
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路 径 指 网 站 主 目录 , 主 目录 是 存放 网 站 文件 的 文件 夹 , 在 这 个 主 目录 下 还 可 以 任意 创建 子 目 录 ; 
通常 Web 服务 器 的 主 目录 都 位 于 本 地 磁盘 系统 ， 如 图 9-28 所 示 。 
2) 域名 和 人 P 绑 定 配置 


单 击 默认 网 站 右 侧 “操作 ”窗口 中 的 “ 绑 定 ” 可 以 配置 网 站 的 人 P 地 址 和 绑 定 网 站 域名 。 


单 击 “ 编 辑 ” 弹 出 “编辑 网 站 绑 定 ”窗口 ， 设 置 下 地 址 和 主机 名 ， 主 机 名 即 网 站 域名 ， 如 图 
9-29 所 示 。 


6 名 称 应 用 程序 也 全 EET | 
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[ht 司 ho 0 zs2 199 3 Fo 

4 全 中); 让 
FeVinetpad wewroot "Ia - 
全 身份 验证 er 
连接 为 CC) .| 测试 设置 @5)， ， 

mn mw | [二 一 


图 9-28 配置 Web 服务 器 (1) 


图 9-29 配置 Web 服务 器 (2) 


3) 文档 配置 
双击 默认 网 站 右 侧 主 窗口 中 的 “默认 文档 ” 可 以 看 到 几 个 默认 的 主页 文件 Defaulthtm、 


Default.asp、index.htm 和 iisstart.asp 等 ， 用 户 可 以 修改 其 中 的 任何 一 个 文档 来 建立 自己 的 网 站 ， 
如 图 9-30 所 示 。 


|@ uxt 


| 全 网 此 功 能 杠 这 客 户 必 二 下 特定 文 全 人 于 9 浊 } 议 立 件 、 近 外 未 认 要 时 认 禄 档 。 
EE. Ee | 


图 9-30 配置 Web 服务 器 (3) 
Web 站 点 的 配置 是 通过 图 形 用 户 界面 来 进行 的 ， 读 者 可 以 根据 提示 练习 配置 网 站 的 过 程 。 
2. 网 站 的 安全 性 配置 


为 了 保证 Web 网 站 和 服务 器 运行 安全 ， 可 以 为 网 站 进行 身份 验证 、 卫 地 址 和 域名 限制 的 
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设置 ， 如 果 没 有 特别 的 要 求 ， 一 般 采 用 默认 设置 。 

身份 验证 配置 : 双击 默认 网 站 右 侧 主 窗口 中 的 “身份 验证 ”， 如 图 9-31 所 示 。 

网 站 的 匿名 访问 关系 到 网 站 的 安全 问题 ， 用 户 可 以 编辑 “匿名 身份 验证 ”选项 栏 来 设置 匿 
名 访问 的 用 户 账 号 。 系 统 中 默认 的 用 户 权限 比较 低 ， 只 具有 基本 的 访问 权限 ， 比 较 适 合 匿名 
访问 。 

IP 地 址 和 域 限制 配置 :双击 默认 网 站 右 侧 主 窗口 中 的 “IP 地 址 和 域 限制 ” 可 以 对 访问 站 
点 的 计算 机 进行 限制 。 单 击 “ 操 作 ” 窗 口 的 “添加 允许 条 目 ” 或 “添加 拒绝 条 目 ”， 可 以 允许 
或 排除 某 些 计算 机 的 访问 权限 ， 如 图 9-32 所 示 。 
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图 9-31 配置 身份 验证 图 9-32 配置 亿 地 址 和 域 限制 


在 “操作 ” 栏 单 击 “ 编 辑 功能 设置 ”按钮 ， 在 打开 的 对 话 框 中 可 以 设置 未 指定 的 客户 端的 
访问 权 为 “允许 或 者 拒绝 ”。 


9.3.4 配置 FTP 服务 器 


1. 添加 FTP 站 点 


选择 “开始 ”一 “管理 工具 ”一 “Intemet 信息 服务 (IS) 管理 器 ”命令 ， 然 后 在 弹出 的 
窗口 中 右 击 “网 站 ” 选择 “添加 FTP 站 点 ” 弹出 添加 FTP 站 点 窗口 。 

(1) 设置 FTP 站 点 名 称 和 物理 路 径 。 物理 路 径 即 FTP 主 目录 , 所 谓 主 目录 是 指 映射 为 FTP 
根 目录 的 文件 夹 ，FTP 站 点 中 的 所 有 文件 将 保存 在 该 目录 中 。 用 户 可 以 把 主 目录 修改 为 计算 机 
中 的 其 他 文件 夹 ， 甚 至 可 以 是 另 一 台 计 算 机 上 的 共享 文件 夹 ， 如 图 9-33 所 示 。 

(2) 在 “人 P 地址 ”下 拉 列 表 中 设置 该 FTP 站 点 的 下 地 址 。Windows Server 2008 R2 操作 系 
统 中 允许 安装 多 块 网 卡 ， 而 且 每 块 网 卡 也 可 以 绑 定 多 个 P 地 址 ， 通 过 设置 人 P 地 址 ，FTP 客户 
端 可 以 利用 设置 的 这 个 人 P 地 址 来 访问 该 FTP 服务 器 ， 在 下 拉 列 表 中 选择 一 个 即 可 ， 端 口号 使 
用 默认 的 21 即 可 ， 如 图 9-34 所 示 。 
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图 9-33 配置 站 点 信息 图 9-34 配置 他 和 端口 


(3) FTP 身份 验证 有 匿名 和 基本 两 种 方式 ， 为 了 安全 ， 建 议 使 用 基本 方式 。“ 授 权 ” 栏 目 ， 
允许 访问 最 好 选择 指定 用 户 。 权 限 根据 需要 ， 可 以 选择 只 读 或 者 读 写 ， 在 “权限 ”栏目 勾 选 相 
应 的 复 选 框 即 可 。 单 击 “ 完 成 ”按钮 ， 就 完成 了 FTP 站 点 的 添加 ， 如 图 9-35 所 示 。 


2. IP 地 址 和 域 限制 


双击 FTP 站 点 右 侧 主 窗 口中 的 “FTP IPv4 地 址 和 域 限制 ” 可 以 对 访问 站 点 的 计算 机 进行 


限制 。 单 击 “ 操 作 ” 窗 口 的 “添加 允许 条 目 ” 或 “添加 拒绝 条 目 ”， 可 以 允许 或 排除 某 些 计算 
机 的 访问 权限 ， 如 图 9-36 所 示 。 
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图 9-35 配置 身份 验证 和 授权 图 9-36 配置 他 地 址 和 域 限制 


在 “操作 ” 栏 单 击 “ 编 辑 功能 设置 ”按钮 ， 在 打开 的 对 话 框 中 可 以 设置 未 指定 的 客户 端的 
访问 权 为 “允许 或 者 拒绝 ”。 
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9.4 Linux Apache 服务 器 的 配置 

Apache 的 特点 是 简单 、 速 度 快 、 性 能 稳定 。Apache 提供 了 丰富 的 功能 ， 包 括 目录 索引 、 
目录 别名 、 虚 拟 主机 、HTTP 日 志 报告 、CGI 程序 的 SetUID 执行 及 联机 手册 man 等 。 
9.4.1 _ Apache 的 安装 与 配置 


在 Webmin 的 system 页 选择 Software Packages, 在 该 页 的 Install a New Package 中 选择 From 
uploaded fle〈 从 上 传 文件 安装 )， 例 如 路 径 为 e:\RedHat\RPMS\apache， 单 击 浏览 按钮 ， 指 定 要 
安装 的 包 文件 apache-1.3.23-11.i386.rpm， 然 后 单 击 Install 按钮 即 可 。 


1，Apache 的 启动 与 停止 


在 Apache Webserver 页 进行 以 下 操作 。 

(1) 在 Apache Webserver 页 中 选择 Start Apache 来 启动 Apache 服务 器 。 

(2) Apache 服务 器 启动 后 ，Apache Webserver 页 的 上 页 标 项 有 所 变化 ， 原 Start Apache 变 
为 Apply Changes 和 Stop Apache， 在 上 页 标 中 选择 Stop Apache 来 停止 Apache 服务 器 。 

在 Bootup and Shutdown 页 进行 以 下 操作 : 

(1) 在 Bootup and Shutdown 页 的 守护 进程 列表 中 查找 httpd, 这 是 Apache 服务 器 的 守护 进 
程 名 称 ， 选 择 守护 进程 名 称 前 的 复 选 框 ， 以 选 定 此 服务 。 

(2) 守护 进程 列表 的 下 方 有 Start Selected 和 Stop Selected 两 个 按钮 ， 分 别 用 来 启动 和 停止 
选 定 的 服务 。 

(3) 如 果 在 守护 进程 列表 中 直接 选择 守护 进程 htpd， 进 入 Edit Actions 页 ， 显 示 服 务 器 守 
护 进 程 的 详细 配置 信息 ， 例 如 守护 进程 的 启动 脚本 。 


2. Apache 的 配置 界面 


在 Apache Webserver 页 中 ， 界 面 配置 的 第 一 部 分 为 Global Configuration， 包 含 若干 全 局 设 
置 项 ， 全 局 设置 项 中 的 设置 将 作用 于 整个 Apache 服务 器 。 

在 Apache Webserver 页 中 , 界面 配置 的 第 二 部 分 为 Virtual Servers， 显 示 当 前 服务 器 中 的 所 
有 虚拟 主机 ， 在 未 进行 配置 的 情况 下 包括 两 个 虚拟 主机 ， 一 个 是 Default Server 默认 主机 ， 另 一 
个 虚拟 主机 使 用 https 协议 ， 监 听 端 口 为 “443 ”， 文 档 根 目录 Document Root 与 默认 主机 相同 。 

在 Apache Webserver 页 中 ， 界 面 配置 的 第 三 部 分 为 Create a New Virtual Server， 用 于 建立 
一 个 新 的 虚拟 主机 。 
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9.4.2 ”建立 基于 域名 的 虚拟 主机 


虚拟 主机 服务 ， 是 指 在 一 台 物 理 机 器 上 提供 多 个 Web 服务 。 例 如 ， 某 公司 有 多 个 子 公 司 ， 
各 子 公司 需要 拥有 独立 的 域名 ,希望 对 外 提供 独立 的 Web 服务 , 但 是 都 要 使 用 总 公司 的 单 台 服 
务 器 , 这 个 时 候 该 服务 器 就 通过 虚拟 主机 的 方式 为 各 个 子 公司 提供 多 个 企业 的 Web 服务 。 虽 然 
所 有 的 Web 服务 都 是 这 台 服 务 器 提供 的 , 但 是 让 访问 者 看 起 来 却 是 在 不 同 的 服务 器 上 获得 Web 
服务 一 样 。 

用 Apache 设置 虚拟 主机 服务 通常 采用 两 种 方案 : 基于 人 P 地 址 的 虚拟 主机 和 基于 名 字 的 虚 
拟 主机 。 

基于 域名 的 虚拟 主机 服务 是 目前 应 用 比较 广泛 的 一 种 方案 。 它 不 需要 更 多 的 人 P 地 址 ， 而 
且 配 置 简单 ， 无 须 特殊 的 软 /硬件 支持 。 现 代 的 浏览 器 大 多 支持 这 种 虚拟 主机 的 实现 方法 。 

在 Create a New Virtual Server 对 话 框 中 配置 需要 建立 的 主机 ， 将 Address 设置 为 当前 主机 
的 某 个 下 地址 ， 如 192.168.1.112, 并 选中 Add name virtual server address 和 Listen on address 复 
选 框 ， Port 为 Default; 将 Document Root 设置 为 此 虚拟 主机 的 文档 根 目 录 ， 如 
/Var/www/page.test.com, 此 目录 是 在 配置 wu-ftpd 服务 器 时 为 虚拟 站 点 page.test.com 建立 的 ; 将 
Server Name 设置 为 此 虚拟 主机 的 域名 ， 如 page.test.com; Add virtual server to file 选取 standard 
httpd.conf file。 单 击 Create 按钮 ， 建 立 已 配置 完成 的 虚拟 服务 器 。 

刚刚 建立 的 虚拟 服务 器 虽然 已 经 保存 到 Apache 的 配置 文件 中 ， 但 并 未 生效 ， 需 要 选择 
Apache Webserver 页 的 Apply Changes， 使 已 修改 的 配置 生效 。 

需要 在 test.com 的 授权 DNS 中 注册 卫 地 址 192.168.1.112， 指 向 虚拟 主机 的 域名 
page.test.com，Name 为 page、Update 为 Yes、Time-to-Live 为 Default。 


9.4.3 ”建立 基于 IP 地 址 的 虚拟 主机 


基于 人 P 地址 的 虚拟 主机 服务 实现 需要 在 机 器 上 配置 多 个 人 P 地 址 , 每 个 人 P 对 应 一 个 虚拟 主 
机 。 这 种 方法 需要 每 个 虚拟 主机 占用 一 个 卫 地 址 资源 ， 在 当前 人 P 地 址 资源 比较 紧张 的 情况 下 
很 少 使 用 这 种 方法 。 


1. 为 网 卡 绑 定 多 个 IP 地 址 


(1) 在 Hardware 页 中 选择 Network Configuration， 在 该 页 中 选择 Network Interfaces， 在 
Network Interfaces 页 中 ，Interfaces Active Now 列表 显示 了 当前 系统 激活 网 卡 的 信息 ， 如 名 称 为 
eth0 的 网 卡 类 型 为 Ethernet; 分 配 的 下 地 址 为 192.168.1.112; 掩 码 (Netmask) 为 255.255.255.0; 
状态 (Status) 为 Up， 选 择 Add a new interface， 添 加 新 的 接口 。 

(2) 在 Create Active interface 页 中 配置 要 建立 的 网 卡 ， 将 Name 设 为 eth0:0 表示 这 并 不 是 
一 块 真正 的 网 卡 , 而 是 指向 物理 网 卡 eth0 的 一 个 虚拟 网 卡 ; 192.168.1.113 为 给 eth0 绑 定 的 另 一 
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个 中 地 址 ， 其 他 设置 为 默认 选项 。 单 击 Create 按钮 ， 建 立 已 配置 好 的 网 卡 。 
(3) 在 Network Interfaces 页 中 , Interfaces Active Now 列表 已 经 显示 了 新 建立 的 网 卡 eth0:0， 
类 型 Ethernet (Virtual) 表示 其 为 虚拟 以 太 网 卡 。 


2. 建立 基于 IP 地址 的 虚拟 主机 


(1) 在 Create a New Virtual Server 对 话 框 中 配置 要 建立 的 主机 ， 将 Address 设置 为 要 建立 
虚拟 主机 的 下 地 址 ， 如 192.168.1.113, 并 选中 Add name virtual server address、Listen on address 
复 选 框 ，Port 默认 为 80; 设置 Document Root 为 /Var/www/ip.test.com; 设置 Server Name 为 
ip.testcom; Add virtual server to file 选取 Standard httpd.conf file。 单 击 Create 按钮 ， 建 立 已 配置 
完成 的 虚拟 服务 器 。 

(2) 选择 Apache Webserver 页 的 Apply Changes， 使 已 修改 的 配置 生效 。 

(3) 需 要 在 test.com 的 授权 DNS 中 注册 于 地 址 192.168.1.113 指向 虚拟 主机 域名 ip.test.com， 
Name 为 p、Update 为 Yes、Time-to-Live 为 Default。 


9.4.4 ”Apache 中 的 访问 控制 


Web 网 站 常 有 这 样 的 需要 ， 对 网 站 某 部 分 内 容 进行 简单 的 密码 保护 ， 只 允许 授权 的 用 户 访 
问 。 例 如 ， 网 站 的 统计 分 析 结果 不 允许 普通 用 户 随意 浏览 。Apache 提供 了 基于 用 户 名 /口令 的 
认证 方式 以 满足 这 样 的 需求 。 

Apache 实现 身份 认证 的 基本 原理 是 : 当 系 统管 理 员 需 要 对 某 个 目录 设置 身份 认证 时 , 在 要 
限制 的 目录 中 添加 默认 名 .htaccess 的 配置 文件 。 当 用 户 访问 该 路 径 下 的 资源 时 ， 系 统 会 弹出 一 
个 对 话 框 ， 要 求 用 户 输入 “用 户 名 /口令 ” 用 户 输入 口令 后 ， 传 给 WWW 服务 器 。WWW 服务 
器 验证 它 的 正确 性 ， 如 果 正 确 ， 返 回 页 面 ;否则 返回 401 错误 。 需 要 说 明 的 一 点 是 ， 这 种 认证 
模式 不 能 用 于 安全 性 要 求 很 高 的 场合 。 

下 面 来 看 一 下 如 何 建立 需要 用 户 名 /口令 才能 进行 访问 的 目录 。 假 设 基本 情况 是 : 
www.domainname.com 站 点 的 文档 存放 在 /var/www/html 目录 下 ，Web 访问 日 志 分 析 存 放 在 
/warwww/usage 目录 下 ,希望 限制 /Var/www/usage/ 目 录 的 访问 ,只 允许 用 户 admin 以 口令 passkey 
访问 该 目录 。 

首先 确保 在 Apache 的 httpd.conf 中 ， 用 密码 才能 访问 的 目录 或 其 父 目录 的 Directory 容器 
的 设置 参数 中 包含 以 下 设置 。 


AllowOverride All 


AllowOverride AuthConfig 


国 于 
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即 允许 该 目录 对 Authconfig 属性 进行 覆盖 。 
然后 使 用 htpasswd 命令 建立 用 户 文件 、 账 号 信息 文件 。 


htpasswd-c /etc/.htpasswd admin 


上 述 代码 创建 了 名 为 .htpasswd 的 用 户 账号 文件 ,并 初始 化 一 个 admin 用户。 此 程序 会 询问 
用 户 admin 的 口令 ， 两 次 输入 passkey 即 可 完成 。 

在 希望 限制 访问 的 目录 (这 里 为 /Var/www/usage/) 下 建立 .htaccess 文件 ， 用 vi 在 /var/ 
www/usage/ 目 录 下 创建 文件 .htaccess。 


AuthName Administrator Accessible Only 
上 这 个 名 字 是 任 取 的 */ 

AuthType Basic 

AuthUserFile /etc/.htpasswd 


Tequire user admim 


9.5 DNS 服务 器 的 配置 


9.5.1 DNS 服务 器 基础 
1. 名 字 和 解析 服务 


网 络 中 的 计算 机 可 以 用 由 字母 和 数字 组 成 的 名 字 来 标识 ,在 进行 网 络 通信 时 计算 机 的 名 字 
被 转换 为 中 地址 。 网络 管理 员 必 须 掌握 查看 和 改变 计算 机 名 字 的 方法 , 还 必须 了 解 名 字 与 地 址 
之 间 的 映像 机 制 。 

名 字 解 析 服务 就 是 将 计算 机 的 名 字 转 换 为 PP 地 址 的 过 程 。 在 Windows 中 使 用 两 类 名 字 : 
主机 名 和 NetBIOS 名 字 。 主 机 名 是 按照 域名 服务 规则 设 定 的 主机 标识 ， 包 括 计算 机 名 和 后 绥 
(suffix) 两 部 分 。 例 如 servertrainnig.tradermsft 是 一 个 主机 名 ， 其 中 server 是 计算 机 名 ， 其 余部 
分 是 后 级 。 所 谓 完全 合格 的 域名 (Fully Qualified Domain Name，FQDM) 是 指 在 DNS 名 称 空 
间 中 已 经 声明 的 名 称 标识 ， 表 明了 它 在 域名 树 中 的 绝对 位 置 。 通 过 FQDN 可 以 找到 全 世界 任何 
网 络 中 的 资源 。DNS 名 字 解 析 通 过 DNS 服务 器 实现 。 可 以 把 多 个 主机 名 映像 到 同一 个 人 P 地 址 ， 
也 可 以 把 一 个 主机 名 映像 到 多 个 他 地 址 。 在 后 一 种 情况 下 进行 名 字 解 析 时 ， 由 一 个 主机 名 可 以 
得 到 对 应 的 多 个 瑟 地 址 。 

NetBIOS 是 IJBM 和 Microsoft 创建 的 网 络 协议 ， 运 行 在 网 络 层 和 应 用 层 之 间 ， 实 现 名 字 注 
册 、 名 字 更 新 、 名 字 解 析 ， 以 及 建立 /终止 会 话 等 功能 。NetBIOS 是 一 种 进程 间 的 通信 机 制 ， 也 
是 一 种 应 用 编程 接口 (APID)， 它 使 得 分 布 式 应 用 软件 能 够 进行 远程 通信 ， 彼 此 访问 对 方 的 网 络 
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资源 。 

NetBIOS 的 名 字 是 NetBIOS 服务 使 用 的 网 络 标识 , 由 16 个 字符 组 成 , 前 15 字符 以 ASCII 
编码 表示 ， 最 后 一 个 字符 以 十 六 进 制 符号 表示 ， 代 表 提 供 的 服务 。NetBIOS 名 字 是 一 种 扁平 的 
名 字 , 没有 任何 层次 结构 , 因而 无 法 区 分 不 同 网 络 中 具有 相同 名 字 的 两 台 计算 机 。Windows 2000 
以 后 的 计算 机 都 使 用 DNS 域名 来 实现 大 多 数 功 能 ,但 是 如 果 网 络 中 包含 运行 较 早 版 本 Windows 
的 计算 机 ， 则 必须 使 用 NetBIOS 名 字 进 行 通信 。 

可 以 用 hostname 实用 程序 查看 主机 名 ,也 可 以 和 命令 查看 主机 名 和 DNS 后 绥 ， 
见 图 9-37。 命 令 nbtstat-n 显示 在 系统 中 注册 的 NetBIOS 名 字 , 命令 nbtstat-c 显示 NetBIOS 缓存 
中 的 内 容 ， 包 括 网 络 中 其 他 主机 的 NetBIOS 名 字 与 全 地址 的 映像 ， 参 见 图 9-38。 


33: [lee.168， 


Ne 


图 9-37 主机 名 和 DNS 后 级 图 9-38 NetBIOS 名字 组 存 


2. DNS 主机 名 解析 


DNS 主机 名 解析 的 查找 顺序 是 先 查 找 客户 端 解析 程序 缓存 ， 如 果 没 有 成 功 ， 则 向 DNS 服 
务 器 发 出 解析 请 求 ， 如 果 还 没有 成 功 ， 则 尝试 使 用 NetBIOS 名 字 解 析 方 法 取得 结 

客户 端 解 析 程 序 缓存 是 内 存 中 的 一 块 区 域 ,保存 着 最 近 被 解析 的 主机 名 及 其 瑟 地 址 映像 ， 
可 以 用 ipconfig/displaydns 命令 查看 其 中 的 内 容 ， 参 见 图 9-39。 由 于 解析 程序 缓存 常 驻 内 存 中 ， 
所 以 比 其 他 解析 方法 速度 快 。 解 析 程 序 缓存 把 最 近 未 能 解析 或 无 效 的 DNS 名 字 存 放 在 负 缓 存 
项 (negative cache entry) 中 ， 当 客户 端 从 DNS 服务 器 接收 到 否 否定 应 答 时 会 添加 这 些 项 目 。 负 
缓存 项 要 保存 一 段 时 间 ， 这 样 它 就 不 会 再 次 被 查询 。 通 过 刷新 和 重 置 缓存 ， 可 以 去 除 负 缓 存 项 
以 及 任何 动态 添加 的 项 目 。 清 除 解 析 程 序 缓存 的 命令 是 ipconfig /flushdns。 

文件 hosts 存储 在 %Systemroot%\System32\Dtivers\Etc 目录 下 , 其 中 包含 了 可 以 预 加 载 到 解 
析 程 序 缓存 中 的 地 址 映像 项 目 ， 参 见 图 9-40。 编 辑 hosts 文件 可 以 帮助 DNS 主机 名 解析 。 
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3， 域 名 系统 


域名 系统 (Domain Name System，DNS) 通过 层 ; 


and Setti 


Tine To Live 


Data Length - - . . 


dnspod.net 


Record Nane . - . . 


Record Type . - 
Tine To Live 


Data L A 


ection - . . - 
月 《Host》 Record 


图 9-39 


间 ， 用 来 定位 网 络 资源 。DNS 最 早 


rator>ipconf ig /dis 


: dl-google-com 


: hnsver 


: dl-1-google-com 


dnspod.net 


解析 程序 缓存 


结构 的 分 布 式 数据 库 建立 了 一 致 性 的 名 


的 技术 规范 出 现在 1983 年 的 RFC 882 和 RFC 883 文档 


中 ，1987 年 发 布 的 RFC 1034 和 RFC 1035 文档 对 其 进行 了 修订 ， 此 后 又 发 布 了 一 系列 补充 和 


扩展 的 技术 规范 。 


Copyright (c) 1993 


999 Microsoft Corp. 


This is a sanple HOSTS file used by Microsoft TCP/IP for Windows. 


This file contains the nappings of IP add 
pt on an individual line. 
irst column followed by t 


The IP 


space. 


lines or follo 


For exanple: 


102. 54 


127.0.0.1 localhost 


ng the nachine nane denoted by a 


rhino. acne. com 
Xx. acne. cam 


0 host nanes. Each 


d on individual 
synbol. 


# x client hos 


图 9-40 hosts 文件 
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由 于 保存 主机 名 的 DNS 数据 库 分 布 在 多 个 服务 器 中 ， 从 而 减少 了 任何 一 台 服 务 器 的 负载 。 
由 于 DNS 数据 库 是 分 布 式 的 , 所 以 规模 大 小 不 受 限 制 , 性 能 也 不 会 因为 服务 器 数量 的 增加 而 显 
著 下 降 。 

DNS 的 逻辑 结构 是 一 个 分 层 的 域名 树 , Intermet 网 络 信息 中 心 (Internet Network Information 
Center，InterNIC) 管理 着 域名 树 的 根 ， 称 为 根 域 。 根 域 没有 名 称 ， 用 句号 “.” 表 示 ， 这 是 域名 
空间 的 最 高 级 别 。 在 DNS 的 名 称 中 ， 有 时 在 末尾 附加 一 个 “.” 就 是 表示 根 域 ， 但 经 常 是 省 略 
的 。DNS 服务 器 可 以 自动 补 上 结尾 的 句号 ， 也 可 以 处 理 结尾 带 句号 的 域名 。 

根 域 下面 是 顶级 域 (Top-Level Domains，TLD )， 分 为 国家 顶级 域 (country code Top Level 
Domain，ccTLD) 和 通用 顶级 域 (generic Top Level Domain，gTLD)。 国 家 顶级 域名 包含 243 
个 国家 和 地 区 代码 ,例如 cn 代表 中 国 , uk 代表 英国 等 。 最 初 的 通用 顶级 域 有 7 个， 即 com ( 商 
业 公 司 )、net (网 络 服 务 )、org (组 织 协 会 )、gov〔 政 府 部 门 )、edu (教育 机 构 )、mil (军事 领 
域 ) 和 int (国际 组 织 )， 这 些 顶 级 域名 原来 主要 供 美 国 使 用 ， 随 着 Internet 的 发 展 ，com、org 
和 net 成 为 全 世界 通用 的 项 级 域名 , 就 是 所 谓 的 “国际 域名 ”, 而 edu、gov 和 mil 限于 美国 使 用 。 

负责 互联 网 域名 注册 的 服务 商 ICANN (Internet Corporation for Assigned Names and 
Numbers) 在 2000 年 11 月 决定 ， 从 2001 年 开始 使 用 新 的 国际 项 级 域名 ,共有 7 个 ， 即 biz( 商 
业 机 构 )、info〔 网 络 公司 )、name (个 人 网 站 )、pro〔 医 生 和 律师 等 职业 人 员 )、aero〔 航 空运 
输 业 专用 )、coop“〔〈 商 业 合作 社 专用 ) 和 museum 博物馆 专用 )， 其 中 前 4 个 是 非 限 制 性 域名 ， 
后 3 个 限于 专门 的 行业 使 用 ， 受 有 关 行 业 组 织 的 管理 。 

2008 年 6 月 ,ICANN 在 巴黎 年 会 上 通过 了 个 性 化 域名 方案 , 最 早 将 于 2009 年 开始 会 出 现 
以 公司 名 字 为 结尾 的 域名 ， 例 如 ibm、hp、qq 等 。 可 以 认为 ， 这 些 域 名 的 所 有 者 在 某 种 意义 上 
就 是 一 个 域名 注册 机 构 ， 以 后 将 会 有 无 数 的 国际 域名 。 

顶级 域 下 面 是 二 级 域 ， 这 是 正式 注册 给 组 织 和 个 人 的 唯一 名 称 ， 例 如 www.microsoft.com 
中 的 microsoft 就 是 微软 注册 的 域名 。 

在 二 级 域 之 下 , 组 织 机 构 还 可 以 划分 子 域 , 使 其 各 个 分 支部 门 都 获得 一 个 专用 的 名 称 标识 ， 
例如 www.sales.microsoft.com 中 的 sales 是 微软 销售 部 门 的 子 域名 称 。 划 分 子 域 的 工作 可 以 一 直 
延续 下 去 , 直到 满足 组 织 机 构 的 管理 需要 为 止 。 但 是 DNS 命名 标准 规定 , 一 个 域名 的 长 度 通常 
不 超过 63 个 字符 ， 最 多 不 能 超过 255 个 字符 。 

DNS 命名 标准 还 规定 , 域名 中 只 能 使 用 ASCII 字符 集 的 有 限 子 集 , 包括 26 个 英文 字母 (不 
区 分 大 小 写 ) 和 10 个 数字 ， 以 及 连 字 符 “-”， 并 且 连 字符 不 能 作为 子 域名 的 第 一 个 和 最 后 一 个 
字母 。 后 来 的 标准 对 字符 集 有 所 扩展 。 


4. 域名 服务 器 


所 有 的 顶级 域 被 委托 (Delegation) 给 不 同 的 根 服务 器 进行 管理 。 国 家 域名 的 根 服务 器 由 各 
个 国家 的 网 络 信息 中 心 运营 , 而 国际 域名 则 由 13 个 根 服务 器 提供 服务 , 其 中 9 个 根 服务 器 放置 
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在 美国 ， 另 外 3 个 分 别 放置 在 英国 、 瑞 典 和 日 本 。 中 国有 3 个 国际 域名 的 镜像 服务 器 ， 可 以 加 
快 中 国境 内 的 用 户 访问 .com 和 .net 中 的 资源 。 


1) 区 域 
DNS 域名 树 的 一 个 连续 部 分 被 称 为 区 域 (zone)， 图 9-41 所 示 为 划分 区 域 的 例子 ， 这 里 有 
3 个 区 域 : 


图 9-41 DNS 的 区 域 


e northnwtraders.com 

e sales.north.nwtraders.com 

e support.north.nwtraders.com 

其 中 ， 区 域 north.nwtraders.com 包含 north.nwtraders.com 和 training.north.nwtraders.com 
子 域 。 

这 里 要 区 别 两 个 不 同 的 概念 ， 通 常 说 的 “ 域 ”是 DNS 域名 树 中 的 一 个 结 点 ， 可 以 把 域名 
树 中 相 邻 的 一 些 结 点 的 配置 信息 保存 的 一 个 文件 中 ， 这 就 是 区 域 文件 。 所 以 域 是 名 字 空 间 的 一 
部 分 ， 而 “区 域 ” 是 存储 的 概念 ， 是 存储 空间 的 一 部 分 。 

2) 资源 记录 

同一 个 区 域 文件 可 以 保存 主 、 辅 两 份 副本 ， 这 样 做 的 目的 是 宛 余 容错 。 如 果 把 主 、 辅 两 个 
文件 分 别 保存 在 两 个 单独 的 服务 器 中 ， 分 别称 为 主 服务 器 和 辅助 服务 器 ， 这 样 做 还 可 以 起 到 负 
载 分 担 的 作用 。 

区 域 文件 是 由 资源 记录 (Resource Record) 组 成 的 文本 文件 ， 即 ./AppData/Local/Temp/ 
Rar$DIa0.095/ 域 名 dnshtm - top#top。 资 源 记录 分 为 许多 不 同 的 类 型 ， 常 用 以 下 几 种 〈 参 见 表 9-2)。 

(1) SOA (Start Of Authoritative): 开始 授权 记录 是 区 域 文 件 的 第 一 条 记录 ， 指 明 区 域 的 主 
服务 器 ， 指 明 区 域 管理 员 的 邮件 地 址 ， 并 给 出 区 域 复制 的 有 关 信 息 。 


. 序列 号 : 


。 ”刷新 间隔 : 辅助 服务 器 更 新 数据 的 时 间 间 
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当 区 域 文件 改变 时 ， 序 列 号 要 增加 ， 辅 助 服务 器 把 自己 的 序列 号 与 主 服务 器 
的 序列 号 比较 ， 以 确定 是 否 需 要 更 新 数据 。 


隔 ( 秒 )。 


。 ” 重 试 间隔 : 当 辅 助 服务 器 不 能 连接 主 服 务 器 进行 更 新 时 ， 必 须 每 隔 一 定 的 时 间 间 隔 


( 秒 ) 重新 试图 连接 。 
。 ”有 效 期 : 如 果 辅 助 服务 器 不 能 更 新 自己 的 


查询 服务 。 


。 ”生命 期 (TTL): 资源 记录 在 其 他 名 字 服 务 器 缓存 中 


区 域 文件 ， 超 过 有 效 期 ( 秒 ) 后 就 不 再 提供 


保存 的 最 少 有 效 时 间 〈 秒 )。 


(2) A (Address): 地 址 记录 表示 主机 名 到 下 地 址 的 映像 。 
(3) PTR (Pointer): 指针 记录 是 也 地 址 到 主机 名 的 映射 。 
(4) NS (Name Server): 给 出 区 域 的 授权 服务 器 。 
(5) MX (Mail eXchanger): 定义 了 区 域 的 邮件 服务 器 及 其 优先 级 〈 搜 索 顺 序 )。 


(6) CNAME: 为 正式 主机 名 (canonical name) 定义 了 


-个 别名 (alias )。 


表 9-2 资源 记录 
记录 类 型 说 了 明 示 例 
指明 区 域 主 服 务 器 (primary nameserver) 区 域 microsoft.com 的 主 服务 器 为 
指明 区 域 管理 员 的 邮件 地 址 及 区 域 复制 信息 : | nsl.microsoft com 
四 序列 号 2003080800 ;serial number 
ee 刷新 间隔 172800 ;refresh=2d 
重 试 间隔 900 :retry=15m 
有 效 期 1209600 ;expire=2w 
TIL 3600 :default TTL=1h 
地 址 CA) 最 常用 的 资源 记录 computerl .microsoftcom 被 解析 为 
国 把 主机 名 解析 为 P 地 址 10.1.1.4 
指针 (PTR) 用 于 反 向 查询 的 资源 记录 10.1.1.4 被 解析 为 
把 他 地 址 解析 为 主机 名 computerl .microsoft.com 
名 字 服 务 器 为 一 个 域 指定 了 授权 服务 器 域 microsoft.com 的 授权 服务 器 为 
(NS) 该 域 的 所 有 子 域 也 被 委派 给 这 个 服务 器 ns2.microsoft.com 
邮件 服务 器 ee 区 域 microsofteom 的 邮件 服务 器 为 
(MX) mail.microsoft.com 
别名 (CNAME) 指定 主机 的 别名 www.microsoft.com 的 别名 为 


把 主机 名 解析 为 另 一 个 主机 名 


3) 区 域 的 类 型 
在 Windows Server 2008 R2 中 ， 区 域 分 为 以 下 3 种 类 型 。 


webserverl2.microsoft.com 
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(1) 主 区 域 : 在 名 字 服 务 器 中 ， 区 域 信息 被 存储 在 一 个 可 写 入 的 文本 文件 中 。 

(2) 辅助 区 域 : 在 名 字 服 务 器 中 ， 区 域 信息 被 存储 在 一 个 只 读 的 文本 文件 中 。 

(3) 存根 区 域 : 只 包含 3 种 记录 〔 称 粘连 记录 )。 

。 ”关于 一 个 区 域 的 SOA 记录 。 

。 ”该 区 域 所 有 授权 服务 器 的 A 记录 。 

。 ”该 区 域 所 有 授权 服务 器 的 NS 记录 。 

在 RFC 1034 和 RFC 1035 提出 的 实现 方案 中 ， 只 有 主 区 域 和 辅助 区 域 ，Windows NT 称 其 
为 标准 区 域 (Standard Zone)。 一 种 典型 的 情况 是 ， 假 设 某 公 司 部 署 了 一 个 Windows NT 域 ， 在 
网 络 中 建立 了 两 个 名 字 服 务 器 ， 一 个 包含 主 区 域 ， 称 为 主 服务 器 (Primary Server)， 另 一 个 包 
含 辅助 区 域 ， 称 为 辅助 服务 器 (Secondary Server)。 当 一 个 新 的 主机 加 入 网 络 时 ， 名 字 服 务 器 
必须 更 新 它们 的 区 域 信息 , 使 得 用 户 可 以 通过 DNS 访问 新 的 主机 。 这 时 网 络 管理 员 在 主 服务 器 
中 生成 一 个 新 的 A 记录 ， 随 之 启动 区 域 传输 ， 使 得 辅助 服务 器 从 主 服务 器 中 复制 数据 ， 直 到 辅 
助 服务 器 与 主 服务 器 的 区 域 信息 完全 一 致 。 在 进行 区 域 传输 时 ， 主 服务 器 代表 该 区 域 的 宿主 服 
务 器 (Master)， 而 辅助 服务 器 是 从 属 服务 器 (Slaver)。 

这 种 配置 的 主要 问题 是 ， 如 果 主 服务 器 出 了 故障 ， 则 资源 记录 就 无 法 修改 了 。 同 时 ， 由 于 
所 有 网 络 资源 配置 的 变化 都 必须 通过 唯一 的 主 服务 器 进行 修改 ， 如 果 公司 网 络 分 布 在 几 个 不 同 
的 地 理 位 置 ， 这 样 做 很 不 方便 。 

从 Windows 2000 开始 引入 了 活动 目录 (Active Directory)， 有 关 区 域 的 资源 记录 可 以 存储 
在 活动 目录 中 , 而 不 是 文本 文件 中 。 这 样 做 的 优点 是 , 可 以 利用 活动 目录 复制 来 传递 区 域 信息 ， 
并 且 人 允许 在 运行 DNS 的 任何 域 控制 器 中 添加 或 修改 资源 记录 。 换 而 言 之 , 所 有 与 活动 目录 集成 
的 域 都 是 主 区 域 ， 都 包含 了 一 个 可 写 入 的 区 域 数据 库 副 本 。 

使 用 活动 目录 集成 的 区 域 也 会 出 现 一 些 问 题 。 假 设 A 公司 有 一 部 分 业务 与 BB 公司 联 系 密切 ， 
为 了 使 A 公司 的 用 户 能 够 访问 B 公司 的 内 部 资源 ， 通 常 的 做 法 是 ， 由 A 公司 的 管理 员 在 该 公 
司 的 每 个 名 字 服 务 器 中 添加 一 个 辅助 区 域 ， 这 些 辅助 区 域 都 把 B 公司 的 名 字 服 务 器 当 作 宿 主 服 
务 器 ， 通 过 区 域 传输 获取 B 公司 的 区 域 信息 。 

这 样 做 会 在 两 个 公司 之 间 产 生 大 量 的 区 域 传输 通信 量 ， 如 果 两 个 公司 通过 慢 速 的 广域网 
(WAN) 连接 ， 则 通信 性 能 会 受到 很 大 影响 。 另 外 可 能 出 现 的 问题 是 ， 如 果 B 公司 关闭 了 它 的 
一 个 名 字 服 务 器 而 没有 通知 对 方 , 那么 在 A 公司 名 字 服 务 器 上 运行 的 辅助 区 域 就 会 失去 宿主 服 
务 器 ， 一 旦 它们 的 资源 记录 过 期 ，A 公司 的 客户 就 不 能 访问 B 公司 的 资源 了 。 

引入 存根 区 域 是 以 上 方法 的 补充 。 存 根 区 域 就 像 辅 助 区 域 一 样 ， 从 其 他 的 名 字 服 务 器 复制 
资源 信息 。 存 根 区 域 也 是 只 读 的 ,所 以 管理 员 不 能 人 工地 添加 、 删 除 或 者 修改 其 中 的 资源 记录 。 
但 是 存根 区 域 与 辅助 区 域 有 两 个 重要 的 差别 。 首 先是 存根 区 域 只 从 宿主 服务 器 中 获取 3 种 资源 
记录 ， 无 论 公司 的 网 络 多 么 庞大 ， 存 根 区 域 的 信息 量 都 是 很 小 的 ， 由 存根 区 域 传输 引起 的 通信 
量 也 是 很 小 的 。 其 次 是 存根 区 域 复制 不 像 传统 的 DNS 区 域 传输 那样 使 用 UDP 协议， 而 是 使 用 
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TCP 协议 传输 比较 大 的 (超过 512 字 节 ) 数据 包 。 如 果 典 型 的 DNS 区 域 复制 要 传输 大 量 UDP 
数据 包 ， 那 么 存根 区 域 复制 只 需 传输 少量 的 数据 包 。 尤 其 重要 的 是 ， 存 根 区 域 可 以 与 活动 目录 
集成 到 一 起 ， 利 用 活动 目录 复制 来 传递 资源 记录 ， 而 通过 活动 目录 复制 实现 辅助 区 域 传输 在 有 
些 情况 下 是 很 难 实现 的 。 

在 前 述 例子 中 ， 可 以 利用 存根 区 域 来 减少 区 域 传输 引起 的 WAN 通信 量 。A 公司 的 网 络 管 
理 员 可 以 登录 到 本 公司 的 一 个 域 控制 器 上 ， 打 开 DNS 控制 台 ， 生 成 一 个 新 的 存根 区 域 ， 把 B 
公司 的 一 个 或 多 个 名 字 服 务 器 设置 成 宿主 服务 器 。 由 于 这 个 存根 区 域 是 与 活动 目录 集成 的 ， 所 
以 存根 区 域 就 会 自动 地 复制 到 A 公司 的 所 有 域 控制 器 中 。 当 A 公司 的 用 户 想 访问 B 公司 的 内 
部 资源 时 ， 用 户 发 出 的 DNS 查询 就 会 被 转发 到 B 公司 的 名 字 服 务 器 中 进行 解析 。 

4) 域名 查询 

DNS 服务 器 可 以 实现 正 、 反 两 个 方向 的 查询 ， 正 向 查询 是 检查 地 址 记录 (A)， 把 名 字 解 
析 为 下 地 址 ， 反 向 查询 是 检查 指针 记录 (PTR)， 把 中 地 址 解析 为 主机 名 。 

在 每 个 DNS 服务 器 中 都 有 一 个 高 速 缓存 区 (cache)， 每 次 查询 出 来 的 主机 名 及 对 应 的 中 
地 址 都 会 记录 到 高 速 缓 在 区 中 。 在 下 一 次 查询 时 ， 服 务 器 先 查 找 高 速 缓存 ， 以 加 速 查询 速度 。 
如 果 高 速 缓存 查询 不 成 功 ， 再 向 其 他 服务 器 发 送 查 询 请 求 。 

DNS 客户 端 都 配置 了 一 个 或 多 个 DNS 服务 器 的 地 址 ， 无 论 是 静态 还 是 动态 配置 的 ， 这 些 
DNS 服务 器 都 是 用 户 所 在 域 的 授权 服务 器 ， 而 用 户主 机 则 是 该 域 的 成 员 。 当 用 户 在 浏览 器 地 址 
栏 中 输入 一 个 域名 时 , 客户 端 就 可 以 向 本 地 的 DNS 服务 器 发 出 查询 请 求 。 查询 过 程 分 为 下 面 两 
种 查询 方式 。 

(1) 递归 查询 : 当 用 户 发 出 查询 请 求 时 ， 本 地 服务 器 要 进行 递归 查询 。 这 种 查询 方式 要 求 
服务 器 彻底 地 进行 名 字 解 析 ， 并 返回 最 后 的 结果 一 一 IP 地 址 或 错误 信息 。 如 果 查 询 请 求 在 本 地 
服务 器 中 不 能 完成 ， 那 么 服务 器 就 根据 它 的 配置 向 域名 树 中 的 上 级 服务 器 进行 查询 ， 在 最 坏 的 
情况 下 可 能 要 查询 到 根 服务 器 。 每 次 查询 返回 的 结果 如 果 是 其 他 名 字 服 务 器 的 瑟 地 址 , 则 本 地 
服务 器 要 把 查询 请 求 发 送 给 这 些 服务 器 做 进一步 的 查询 。 

(2) 迭代 查询 : 服务 器 与 服务 器 之 间 的 查询 采用 迭代 的 方式 进行 ， 发 出 查询 请 求 的 服务 器 
得 到 的 响应 可 能 不 是 目标 的 下 地 址 ， 而 是 其 他 服务 器 的 引用 (名字 和 地 址 )， 那 么 本 地 服务 器 
就 要 访问 被 引用 的 服务 器 ,做 进一步 的 查询 。 如 此 反复 多 次 , 每 次 都 更 接近 目标 的 授权 服务 器 ， 
直至 得 到 最 后 的 结果 一 一 目标 的 他 地 址 或 错误 信息 。 

5) 转发 服务 器 

DNS 服务 器 收 到 查询 请 求 后 ， 首 先 在 自己 的 区 域 文件 中 查找 ， 再 在 高 速 缓存 中 查找 。 如 果 
查 不 到 ， 可 能 是 因为 该 服务 器 不 是 请 求 域 的 授权 服务 器 ， 并 且 以 前 查询 的 缓存 中 没有 需要 的 记 
录 ， 这 时 DNS 服务 器 必须 向 其 他 服务 器 发 送 请 求 。 在 Intermet 中 ， 对 本 地 网 之 外 的 DNS 查询 
要 通过 广域网 (WAN) 进行 通信 ， 与 远程 服务 器 协同 工作 。DNS 转发 器 由 特定 的 名 字 服 务 器 
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担任 ， 它 的 作用 就 是 负责 处 理 基 于 WAN 的 DNS 通信 。 

9-42 给 出 了 转发 器 的 工作 过 程 。 首 先是 客户 机 向 本 地 服务 器 进行 递归 查询 , 若 本 地 服务 
器 查找 不 到 需要 的 记录 ， 则 向 转发 器 发 出 递归 查询 请 求 。 转 发 器 通过 办 代 查询 得 到 需要 的 结果 
后 ， 转 发 给 本 地 DNS 服务 器 ， 并 返回 客户 机 。 图 中 提 到 的 根 提示 (roothint) 是 存储 在 DNS 服 
务 器 中 的 一 种 资源 记录 ， 指 出 了 DNS 根 服务 器 的 名 字 和 地 址 。 根 提示 用 于 解析 Intermet 上 的 外 
部 主机 名 。 


nwtraders.com 


本 地 DNS 服 务 器 


本 地 计算 机 
图 9-42 转发 器 工作 过 程 


6) 区 域 传输 

把 一 个 区 域 的 名 字 服 务 器 分 为 主 服务 器 和 辅助 服务 器 ， 可 以 实现 元 余 容 错 的 功能 。 主 、 辅 
两 个 服务 器 都 是 该 区 域 的 授权 服务 器 , 都 提供 域名 查询 服务 , 这 样 还 可 以 实现 负载 分 担 的 功能 。 
主 、 辅 两 个 服务 器 必须 进行 区 域 传输 和 复制 ， 以 随时 保持 区 域 信息 的 一 致 。 

如 果 网 络 中 添加 了 一 个 新 的 辅助 服务 器 ， 那 么 它 要 从 主 服 务 器 中 复制 全 部 资源 记录 。 对 于 
网 络 中 己 有 的 辅助 服务 器 ， 只 是 在 主 服务 器 的 区 域 信息 改变 时 才 复制 部 分 资源 记录 。 前 者 叫 作 
完全 复制 , 使 用 AXFR (All zone transfer) 协议 , 后 者 叫 作 渐 增 复制 , 使 用 IXFR (Incremental zone 
transfer) 协议 。AXFR 和 IXFR 都 是 BIND 中 的 协议 (RFC 1995)， 用 于 区 域 复 制 。 资 源 记录 
SOA 中 的 序列 号 可 以 指示 主 、 辅 服务 器 中 的 区 域 信息 是 否 一 致 。 

9-43 是 一 个 区 域 传输 的 例子 。 区 域 传输 过 程 总 是 从 辅助 服务 器 开始 的 ， 当 主 服务 器 收 到 
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辅助 服务 器 的 询问 时 ， 要 根据 资源 记录 改变 的 历史 做 出 响应 ， 以 确定 是 否 进行 完全 复制 或 渐 增 
复制 。 


辅助 服务 器 主 服务 器 


本 区 域 的 SOA 询 问 


SOA 应 答 (本 区 域 状态 ) 


本 区 域 的 [IXFR 或 AXFR 请 求 


IXFR 或 AXFR 响 应 (区 域 传输 ) 


图 9-43 区域 传输 


具体 的 传输 过 程 如 下 。 

(1) 新 配置 的 辅助 服务 器 向 主 服 务 器 发 送 AXFR 请 求 。 

(2) 主 服务 器 以 完全 复制 响应 之 。 于 是 , 区 域 资源 信息 被 传输 给 辅助 服务 器 , 其 中 包括 SOA 
记录 中 的 序列 号 和 刷新 时 间 (通常 设置 为 900 秒 ， 即 15 分 钟 )。 

(3) 当 刷 新 时 间 间 隔 超 过 时 ， 辅 助 服务 器 向 主 服 务 器 发 出 SOA 询问 。 

(4) 主 服务 器 返回 的 应 答 中 包含 了 它 的 序列 号 。 

(5) 辅助 服务 器 把 得 到 的 序列 号 与 自己 的 序列 号 比较 ， 如 果 两 者 相同 ， 则 不 需要 进行 区 域 
复制 ， 但 是 要 根据 应 答 中 得 到 的 刷新 时 间 重 置 自己 的 刷新 时 间 。 

(6) 如 果 从 主 服务 器 得 到 的 序列 号 大 于 自己 的 序列 号 ， 则 决定 要 更 新 区 域 信 息 。 辅 助 服务 
器 发 送 IXFR 请 求 ， 其 中 包含 本 地 的 序列 号 。 

(7) 如 果 主 服务 器 支持 渐 增 复制 ， 并 且 保存 着 最 近 更 新 资源 记录 的 历史 信息 ， 则 以 IXFR 
响应 ， 并 启动 区 域 传 输 过 程 ; 如 果 主 服务 器 不 支持 渐 增 复制 ， 则 以 AXFR 响应 ， 并 启动 区 域 传 

7) DNS 通知 

基于 Windows 的 DNS 服务 器 支持 DNS 通知 。RFC 1996 文档 给 出 了 主 服务 器 向 辅助 服务 
器 发 送 通 知 的 技术 规范 。DNS 通知 是 一 种 “推进 ”机 制 , 使 得 辅助 服务 器 能 及 时 更 新 区 域 信息 。 
DNS 通知 也 是 一 种 安全 机 制 ， 只 有 被 通知 的 辅助 服务 器 才能 进行 区 域 复制 ， 这 样 可 以 防止 没有 


是 42 荐 。 网 当 工 程 呈 教程 (第 5 版 ) 


授权 的 服务 器 进行 非法 的 区 域 复制 。 按 照 RFC 1996 技术 规范 ， 被 通知 的 服务 器 的 卫 地 址 必须 
出 现在 主 服务 器 的 通知 列表 中 ， 在 DNS 控制 台 ， 可 以 通过 “通知 对 话 框 ”添加 被 通知 的 目标 
服务 器 。 图 9-44 给 出 了 DNS 通知 的 操作 过 程 。 


外 资源 记录 更 新 
加 SOA 序 列 号 更 新 


图 9-44 DNS 通知 


首先 是 主 服 务 器 的 资源 记录 被 更 新 ， 这 时 SOA 记录 中 的 序列 号 增加 ， 表 示 这 是 区 域 信息 
的 一 个 新 版 本 。 然 后 主 服务 器 向 通知 列表 中 的 服务 器 发 送 DNS 通知 ， 收 到 通知 的 DNS 服务 器 
就 可 以 启动 区 域 传输 来 复制 资源 记录 了 。 注意 , 存根 区 域 不 能 配置 在 通知 列表 中 。 默 认 情 况 下 ， 
区 域 传输 的 目标 都 是 在 NS 记录 中 列 出 的 授权 服务 器 。 
9.5.2 ”Windows Server 2008 R2 DNS 服务 器 的 安装 与 配置 


1. DNS 服务 器 的 安装 


默认 情况 下 ，Windows Server 2008 R2 系统 中 没有 安装 DNS 服务 器 ， 因 此 需要 用 户 手动 
安装 ， 安 装 过 程 如 下 。 

(1) 选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”一 “角色 ”命令 ， 在 打开 的 窗口 中 
单 击 “ 添 加 角色 ”按钮 ， 启 动 Windows 添加 角色 向 导 。 

(2) 在 “服务 器 角色 ”列表 框 中 色 选 “DNS 服务 器 ” 复 选 框 ， 并 单 击 “ 下 一 步 ” 按 钮 。 安 
装 向 导 提示 ， 执 行 至 确认 界面 ， 单 击 “安装 ”完成 DNS 服务 器 的 安装 。 


2. 创建 DNS 解析 区 域 


DNS 服务 器 安装 完成 以 后 ， 在 “服务 器 管理 器 ”界面 ， 双 击 “ 和 角色” 一 “DNS 服务 器 ”， 
依次 展开 DNS 服务 器 功能 菜单 ， 右 击 “ 正 向 查找 区 域 ” 选择“ 新 建 区 域 (Z)”， 弹 出 “新 建 
区 域 向 导 ” 对 话 框 。 用 户 可 以 在 该 向 导 的 指引 下 创建 区 域 。 下 面 以 创建 正 向 查找 区 域 为 例 进行 
说 明 。 

(1) 在 “新 建 区 域 向 导 ” 的 欢迎 页 面 中 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “区 域 类 型 ”选择 页 面 。 
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默认 情况 下 “主要 区 域 ” 单 选 按钮 处 于 选中 状态 ， 单 击 “ 下 一 步 ” 按 钮 ， 如 图 9-45 所 示 。 

(2) 在 “区 域名 称 ” 编 辑 框 中 输入 一 个 能 反映 区 域 信 息 的 名 称 〈 如 testcom)， 单 击 “ 下 
一 步 ”按钮 。 

(3) 区 域 数据 文件 名 称 通常 为 区 域名 称 后 添加 “.dns” 作 为 后 绥 来 表示 。 若 用 户 的 区 域名 
称 为 testcom， 则 默认 的 区 域 数据 库 文件 名 即 为 test.com.dns， 如 图 9-46 所 示 。 


区 域 类 型 加 区 二 文件 一 
DRS 服务 器 支持 不 同类 型 的 区 域 和 存储 。 您 可 以 创建 一 个 休 区 域 文件 和 使 用 从 另 一 个 DNS 服务 器 复制 的 文件 。 
选择 您 要 创建 的 区 域 的 类 型- et 还 是 使 用 一 个 从 另 一 个 DNS 服务 器 复制 的 现存 
人 主要 区 域 中 ) 
人 再 一 个 可 以 直接 在 这 个 服务 器 上 更 新 的 区 域 副本 。 再 新 文件 文件 名 为 吕 ): 
Ce fre i 
* 此 选项 帮助 主 服务 器 平 ; 
HET 再 玉 使 用 此 现存 文件 四 
个 存根 区 域 0 
RT 
Ly i 了 
ER 
| 可 人 Directory 中 存 闪 区 域 吧 有 | DNS 项 务 器 是 可 写 域 往 制 乱 时 才 可 用 】 
< 上- 步 @) 到 消 《< 上 - 步 @) 职 消 


图 9-45 ”选择 创建 区 域 类 型 图 9-46 创建 区 域 


(4) 按照 向 导 提 示 ， 完 成 正 向 查找 区 域 的 创建 。 
3. 创建 域名 


向 导 成 功 创建 了 testcom 区 域 ， 接 着 还 需要 在 其 基础 上 创建 指向 不 同 主机 的 域名 才能 提供 
域名 解析 服务 。 具 体操 作 步 骤 如 下 。 

(1) 选择 “开始 ”一 “管理 工具 ”一 DNS 命令 ， 打 开 DNS 管理 器 窗口 。 

(2) 在 左 窗 格 中 依次 展开 ServerName 一 “ 正 向 查找 区 域 ” 目 录 ， 然 后 右 击 test.com 区 域 ， 
选择 快捷 菜单 中 的 “新 建 主机 ”命令 ， 如 图 9-47 所 示 。 

(3) 打开 “新 建 主 机 ”对 话 框 ， 如 图 9-48 所 示 ， 在 “名 称 ” 编 辑 框 中 输入 一 个 能 代表 该 
主机 所 提供 服务 的 名 称 ， 在 “JP 地 址 ”编辑 框 中 输入 该 主机 的 人 地址， 再 单 击 “ 添 加 主机 ” 
按钮 。 很 快 就 会 提示 已 经 成 功 创建 了 主机 记录 。 

此 外 ， 用 户 还 可 以 配置 别名 (CNAME) 以 及 邮件 记录 (MX) 等 资源 记录 。 


4. 设置 DNS 客户 端 


用 户 必须 手动 设置 DNS 服务 器 的 卫 地 址 才 行 。 在 客户 端 “Intemet 协议 (TCP/IP) 属性 ” 
对 话 框 的 “首选 DNS 服务 器 ”文本 框 中 设置 DNS 服务 器 的 卫 地 址 ， 例 如 10.0.252.20， 如 图 
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9-49 所 示 。 


文件 名“ 报 作 的 ， 相 丰 的 “并 到 om 
ESE EE EEERB 


到 Tr 
昌吉 6 
| 邮 EE 
和 上 SU 二 
EE 目 S 区 ) 


图 9-47 选择 “新 建 主机 ”命令 图 9-48 创建 主机 记录 


人 自 动 获得 DNS 服务 器 地址 四) 

三 使 用 下 面 的 DNS 服务 器 地 址 人 E): 一 一 一 一 一 一 一 一 
首选 DRS 服务 器 中 ); 10 .0 .252 .199 

备用 DNS 服务 器 (A); 


厂 退出 时 验证 设置 4) 


[3 | 


图 9-49 设置 客户 端 DNS 服务 器 地 址 


9.5.3 Linux BIND DNS 服务 器 的 安装 


BIND (Berkeley Intemet Name Domain) 是 在 UNIX/Linux 系统 上 实现 的 域名 解析 服务 软件 
包 ， 在 Red Hat Linux 上 使 用 BIND 建立 DNS 服务 器 。 

BIND 最 常见 的 两 种 用 途 之 一 是 使 用 ISP 类 型 的 设置 ，DNS 服务 器 接受 并 解析 来 自任 何人 
《或 者 一 组 预先 定义 的 用 户 ) 的 请 求 ; 另 一 种 是 Web 主机 方式 ， 服 务 器 只 解析 对 服务 域名 的 
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请 求 。 
安装 bind 软件 包 , 可 通过 “本 地 文件 “上 传 文件 ”和 网 络 站 点 (ftp、http 和 Redhat Network) 
等 多 种 方法 ， 双 击 \RedHat\RPMS\bind-9.2.0-8.1386.pm 文件 进入 安装 。 


1. 配置 DNS 解析 器 


在 Linux 主机 上 使 用 Webmin 管理 工具 配置 DNS 客户 端 ， 通 过 浏览 器 登录 Linux 主机 的 
Webmin 界面 ， 在 “硬件 ”页 中 选择 “网 络 配置 ”项 ， 在 “网 络 配置 ”页 中 选择 “DNS 客户 ” 
项 。 在 “DNS 服务 器 ”项 中 输入 要 使 用 的 DNS 域名 服务 器 的 卫 地 址 ， 例 如 192.168.1.114， 最 
多 可 以 输入 3 个 DNS 的 下 地址 ，DNS 查询 时 将 按 先 后 顺序 分 别 查询 。 设 置 解析 顺序 为 DNS、 
Hosts， 表 示 先 查询 DNS 服务 器 再 查询 本 地 Hosts 文件 。 


2. 高 速 缓存 服务 器 的 配置 


通过 浏览 器 登录 Linux 主机 的 Webmin 界面 ， 选 择 “ 服 务 ” 页 ， 然 后 选择 “BIND 8 DNS 
服务 器 ” BIND DNS 服务 器 的 所 有 配置 都 在 “BIND DNS 服务 器 ”。 

BIND 默认 安装 已 存在 Root 区 、127.0.0 和 localhost 区 ， 在 “ 现 有 DNS 区 域 ”部 分 可 看 到 
这 3 项 。 

BIND 默认 情况 下 可 直接 作为 高 速 缓存 服务 器 ,只 需 单 击 “ 启动 名 字 服 务 器 ”按钮 启动 BIND 
服务 器 即 可 。 


3， 主 服务 器 的 配置 


正 向 主 服务 器 的 区 域 类 型 为 “ 正 向 ” 即 名 称 至 地 址 的 正 向 解析 。 反 向 主 服务 器 的 区 域 类 
型 为 “ 反 向 ” 即 地 址 至 名 称 的 反 向 解析 。 

新 建 正 向 主 服务 器 ， 在 “新 建 主 区 域 ” 页 中 ,“ 区 域 类 型 ”的 默认 选项 为 “ 正 向 《名 称 至 
地 址 )”， 在 “域名 /网 络 ” 项 输入 要 新 建 的 主 区 域 域名 。 新 建 反 向 主 服务 器 ， 在 “新 建 主 区 域 ” 
页 中 ,“ 区 域 类 型 ”的 默认 选项 为 “ 反 向 (地 址 至 名 称 )”， 在 “域名 /网 络 ” 项 输入 要 反 向 解析 
的 网 络 地 址 。 

在 正 向 主 服务 器 中 增加 地 址 记录 、 名 称 别名 记录 、 邮 件 交换 记录 和 slave 名 称 服务 器 记录 。 

查看 主 服务 器 的 正 向 、 反 向 区 域 ， 并 使 设置 生效 。 


4. 从 服务 器 的 配置 


建立 次 服务 器 的 正 向 解析 ， 在 “新 建 次 区 域 ” 页 中 进行 配置 ,“ 区 域 类 型 ”默认 为 “ 正 向 
解析 ”， 在“ 域名/ 网络” 输入 要 作为 哪个 域 的 从 服务 器 。 
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核实 “编辑 次 区 域 ” 页 的 “区 域 选 项 ”,“ 主 服务 器 ”TP 地 址 为 192.168.1.114， 是 在 “新 建 
次 区 域 ”页 中 输入 的 ,“ 记 录 文件 ”为 自动 生成 的 全 路 径 记录 文件 名 /var/named/test.com.hosts， 
文件 名 根据 当前 域名 生成 ， 其 他 项 为 默认 值 ， 单 击 “ 保 存 ” 按 钮 保存 当前 设置 。 

建立 次 服务 器 反 向 解析 ， 在 “新 建 次 区 域 ”页 中 将 “区 域 类 型 ” 设 为 “ 反 向 解析 ”， “域名 
/网 络 ” 为 域名 的 网 络 地 址 192.168.1。 

选择 区 域 可 以 对 该 区 域 的 属性 进行 编辑 ， 修 改 后 保存 ， 也 可 以 把 次 区 转换 成 主 区 ， 单 击 
Convert to master zone 按钮 即 可 实现 。 


5. DNS 的 测试 


以 超级 用 户 权 限 登 录 ， 使 用 nslookup 命令 对 BIND DNS 服务 器 进行 测试 。 


#nslookup 

>master.test.com 翌 测 试 正 向 解析 地 址 记录 ， 查 询 主机 master.test.com 的 卫 地址 */ 
Server: 192.168.1.114 

Address: 192.168.1.114#53 

Name: master.test.com 

Address: 192.168.1.114 


>192.168.1.113 人 # 测 试 反 向 解析 地 址 记录 ， 查 询 下 地 址 为 192.168.1.113 的 主机 名 称 */ 


Server: 
Address: 


192.168.1.114 
192.168.1.114#53 


113.1.168.192.in-addr.arpa name=slave.test.com 


>dns.test.com 人 # 测 试 “ 名 称 别名 ”记录 ， 查 询 主机 dns.test.com 的 别名 */ 
Server: 192.168.1.114 

Address: 192.168.1.114#53 

dns.test.com canonical name=master.testcom 

Name: master.test.com 

Address: 192.168.1.114 

>set type = ns 放 测 试 type 为 NS (Name Server 名 称 服务 器 ) 记录 所 
>test.com 


Server: 


192.168.1.114 
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Address: 192.168.1.114#53 

test.com: nameserver = slave.test.com 

test.com: nameserver = master.test.com 

>set type = mx 话 测 试 类 型 为 MX (Mail eXchanger 邮件 服务 器 ) 记录 #/ 
>test.com 

Server: 192.168.1.114 

Address: 192.168.1.114#53 

test.com: mail exchanger = 10 mail.test.com 


9.6 DHCP 服务 器 的 配置 


9.6.1 DHCP 服务 器 基础 


在 常见 的 小 型 网 络 中 , IP 地 址 的 分 配 一 般 都 采用 静态 方式 , 但 是 在 大 中 型 网 络 中 ， 为 每 一 
台 计 算 机 分 配 一 个 静态 下 地 址 ， 这 样 将 会 加 重 网 管 人 员 的 负担 ， 并 且 容易 导致 P 地 址 分 配 错 
误 。 因 此 ， 在 大 中 型 网 络 中 使 用 DHCP (Dynamic Host Configuration Protocol， 动 态 主 机 配置 协 
议 ) 服务 是 非常 有 效率 的 。DHCP 服务 具有 以 下 好 处 。 

(1) 管理 员 可 以 迅速 地 验证 他 地 址 和 其 他 配置 参数 ， 而 不 用 去 检查 每 个 主机 。 

(2) DHCP 不 会 从 一 个 范围 里 同时 租借 相同 的 人 地 址 给 两 台 主机 ， 避 免 了 手工 操作 的 
重复 。 

(3) 可 以 为 每 个 DHCP 范围 (或 者 说 所 有 的 范围 ) 设置 若干 选项 (例如 可 以 为 每 台 计 算 机 
设置 默认 网 关 、DNS 和 WINS 服务 器 的 地 址 )。 

(4) 如 果 主 机 物理 上 被 移动 到 了 不 同 的 子 网 上 , 该 子 网 上 的 DHCP 服务 器 将 会 自动 用 适当 
的 TCP/IP 配置 信息 重新 配置 该 主机 。 

(5) 大 大 方便 了 便携 机 用 户 ， 当 移动 到 不 同 的 子 网 时 不 再 需要 为 使 携 机 分 配 下 地 址 。 

DHCP 服务 的 工作 过 程 如 下 。 

(1) 当 DHCP 客户 端 首次 启动 时 ， 客 户 端 向 DHCP 服务 器 发 送 一 个 Dhcpdiscover 数据 包 ， 
该 数据 包 表 达 了 客户 端的 中 租用 请 求 。 

(2) 当 DHCP 服务 器 接收 到 Dhcpdiscover 数据 包 后 , 该 服务 器 从 地 址 范围 中 向 那 台 主 机 提 
供 (dhcpoffer) 一 个 还 没有 被 分 配 的 有 效 的 他 地址 。 当 你 的 网 络 中 包含 不 止 一 个 DHCP 服务 器 
时 ， 主 机 可 能 收 到 好 几 个 dhcpoffsr， 在 大 多 数 情况 下 ， 主 机 或 客户 端 接受 收 到 的 第 一 个 
dhcpoffer。 
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(3) 该 DHCP 服务 器 向 客户 端 发 送 一 个 确认 dhcppack)， 该 确认 里 面 已 经 包括 了 最 初 发 
送 的 中 地 址 和 该 地 址 的 一 个 稳定 期 间 的 租约 (默认 情况 是 8 天 )。 

(4) 当 租 约 期 过 了 一 半 时 ( 即 是 4 天 )， 客户 端 将 和 设置 它 的 TCP/IP 配置 的 DHCP 服务 器 
更 新 租约 。 当 租 期 过 了 87.5% 时 ， 如 果 客 户 端 仍 然 无 法 与 当初 的 DHCP 服务 器 联系 上 ， 它 将 与 
其 他 DHCP 服务 器 通信 ， 如 果 网 络 上 再 没有 任何 DHCP 服务 器 在 运行 , 该 客户 端 必须 停止 使 用 
该 他 地 址 ， 并 从 发 送 一 个 dhcpdiscover 数据 包 开 始 ， 再 一 次 重复 整个 过 程 。 


9.6.2 ”Windows Server 2008 R2 DHCP 服务 器 的 配置 


在 Windows Server 2008 R2 系统 中 默认 没有 安装 DHCP 服务 器 角色 ， 所 以 需要 手动 添加 
DHCP 服务 器 角色 。 需 要 注意 ， 要 安装 DHCP 服务 ， 首 先 需 要 确保 在 Windows Server 2008 R2 
服务 器 中 安装 了 TCP/IP， 并 为 这 台 服 务 器 指定 了 静态 P 地 址 (本 例 中 为 10.0.252.199)。 添 加 
DHCP 服务 器 角色 的 步骤 如 下 。 

(1) 选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”一 “角色 ”命令 ， 在 打开 的 窗口 中 
单 击 “ 添 加 角色 ”按钮 ， 启 动 Windows 添加 角色 向 导 。 

(2) 在 “服务 器 角色 ”列表 框 中 多 选 “DHCP 服务 器 ” 复 选 框 ， 并 单 击 “ 下 一 步 ” 按 钮 。 
安装 向 导 提示 ， 执 行 至 确认 界面 ， 单 击 “ 安 装 ” 完 成 DHCP 服务 器 的 安装 。 


1. 创建 DHCP 作用 域 


完成 DHCP 服务 组 件 的 安装 后 并 不 能 立即 为 客户 端 计算 机 自动 分 配 人 P 地 址 ， 还 需要 经 过 
一 些 设置 工作 。 首先 要 做 的 就 是 根据 网 络 中 的 节点 或 计算 机 数 确定 一 段 四 地 址 范围 , 并 创建 一 
个 下 作用 域 。 这 部 分 操作 属于 配置 DHCP 服务 器 的 核心 内 容 ， 具 体操 作 步 骤 如 下 。 

(1) 选择 “开始 ”一 “管理 工具 ”一 DHCP 命令 ， 打 开 “DHCP” 控 制 台 窗 口 。 在 左 窗 格 
中 单 击 DHCP 服务 器 名 称 ， 右 击 IPv4， 在 弹出 的 快捷 菜单 中 选择 “新 建 作用 域 ” 命 令 。 

(2) 打开 “新 建 作用 域 向 导 ” 对 话 框 ， 单 击 “ 下 一 步 ”按钮 打开“ 作用 域名 ”向 导 页 面 ， 
在 编辑 框 中 为 该 作用 域 输入 一 个 名 称 和 一 段 描 述 性 信息 ， 然 后 单 击 “ 下 一 步 ”按钮 。 

(3) 打开 “了 地 址 范围 ”向 导 页 面 ， 分 别 在 “起 始 下 地 址 ”和 “结束 下 地 址 ”编辑 框 中 
输入 已 经 确定 好 的 全 地 址 范围 的 起 止 瑟 地 址 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 9-50 所 示 。 

(4) 打开 “添加 排除 ”向 导 页 面 ， 在 这 里 可 以 指定 需要 排除 的 瑟 地址 或 他 地 址 范围 ， 在 
“起 始 耳 地址 ”编辑 框 中 输入 要 排除 的 瑟 地 址 并 单 击 “ 添 加 ”按钮 ， 然 后 重复 操作 即 可 。 完 成 
后 单 击 “下 一 步 ”按钮 。 

(5) 打开 “租约 期 限 ” 向 导 页 面 ， 默 认 将 客户 端 获取 的 人 P 地 址 使 用 期 限 限制 为 8 天 。 如 
果 没 有 特殊 要 求 ， 保 持 默认 值 不 变 ， 单 击 “ 下 一 步 ” 按 钮 。 
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(6) 打开 “路 由 器 (默认 网 关 )” 向 导 页 面 ， 根 据 实际 情况 输入 网 关 地 址 ， 并 单 击 “ 添 加 ” 
按钮 。 如 果 没 有 可 以 不 填 ， 直 接 单 击 “ 下 一 步 ”按钮 ， 如 图 9-51 所 示 。 


新 建 作 用 域 向 导 
A r 地 十 作用 所 地 直 国 。 YY a. 
TH 服务器 8 了 R 轩 设 置 要 办 户 并 使 用 的 路由 基 的 IF 地 址 ， 请 在 下 而 输入 地 址 
入 入 此 作用 二 分 芭 81 地 址 区 围 。 理 地 址 四- 
下 后 下 地址 6 [10 . 0 .252 200 | RULE 
剖 训 下 地 直 im [10 0 252 29 1 0 252 254 鲁 队 (EE) 
伟 舌 到 DHCP 窜 启 尖 和 轩 设置 一 一 一 一 一 一 一 一 一 一 一 一 一 一 Bevwal 
疝 E 
| 
FR [255 25 255 0 | 
mn | 上- 步 oj| 下 - 步 呈 | 取消 
图 9-50 “IP 地 址 范围 ”向 导 页 面 图 9-51 “路 由 器 (默认 网 关 )” 向 导 页 面 


(7) 根据 向 导 提示 ， 配 置 DNS 服务 器 和 WINS 服务 器 。 

(8) 打开 “激活 作用 域 ” 向 导 页 面 ， 保 持 选 中 “是 ， 我 想 现在 激活 此 作用 域 ” 单 选 按钮 ， 
并 依次 单 击 “下 一 步 ” 和 “完成 ”按钮 完成 配置 。 

至 此 ， DHCP 服务 器 端的 配置 工作 基本 完成 了 。 现 在 DHCP 服务 器 已 经 做 好 了 准备 ， 随 
时 等 待 客户 端 计算 机 发 出 的 求 租 下 地 址 的 请 求 。 

2. 设置 DHCP 客户 端 


为 了 使 客户 端 计算 机 能 够 自动 获取 下 地 址 ， 除 了 需要 DHCP 服务 器 正常 工作 以 外 ， 还 需 
要 将 客户 端 计算 机 配置 成 自动 获取 卫 地 址 的 方式 .实际 上 在 默认 情况 下 客户 端 计算 机 使 用 的 都 
是 自动 获取 下 地 址 的 方式 ， 一 般 情 况 下 并 不 需要 进行 配置 。 这 里 以 Windows 7 为 例 对 客户 端 
计算 机 进行 配置 ， 具 体 方法 如 下 。 

(1) 在 桌面 上 右 击 “网 络 ” 图 标 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 

(2) 打开 “更 改 适 配器 设置 ”页 面 , 右 击 “ 本 地 连接 ”图 标 , 在 弹出 的 快捷 菜单 中 选择 “ 属 
性 ”命令 ,打开 “本 地 连接 属性 ”对 话 框 ， 双 击 “Intemet 协议 版 本 4 CTCP/Pv4)” 选 项 ， 在 
打开 的 对 话 框 中 选中 “自动 获得 卫 地 址 ” 单 选 按钮 ， 单 击 “ 确 定 ” 按 钮 ， 如 图 9-52 所 示 。 

至 此 ，DHCP 服务 器 端 和 客户 端 已 经 全 部 设置 完成 ,一 个 基本 的 DHCP 服务 环境 已 经 部 署 
成 功 。 在 DHCP 服务 器 正常 运行 的 情况 下 ， 首 次 开机 的 客户 端 会 自动 获取 一 个 卫 地 址 ， 并 拥 
有 8 天 的 使 用 期 限 。 
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inetiS4ICE BE 电 司 三 
常规 ”| 备用 配置 


如 果 网 络 云 持 此 功 舍 ,岂可 以 获取 自动 指派 的 ITP 设置 。 否则 , 您 需 
要 从 网 络 系统 管理 器 处 获 震 适当 的 IP 设置 。 


回 自动 获得 IF 地 址 (0) 
司 使 用 下 面 的 IP 地 址 (3) 


图 自动 获得 DNS 服务 器 地 址 (3) 
使 用 下 面 的 DNS 服务 器 地 址 (E): 


退出 时 验证 设置 (L) 高 级 (人 ).. 


图 9-52 设置 DHCP 客户 端 


3. 备份 、 还 原 DHCP 服务 器 配置 信息 


在 网 络 管理 工作 中 , 备份 一 些 必要 的 配置 信息 是 一 项 重要 的 工作 , 以 便当 网 络 出 现 故障 时 ， 
能 够 及 时 恢复 正确 的 配置 信息 , 保障 网 络 正常 运转 。 在 配置 DHCP 服务 器 时 也 不 例外 , Windows 
Server 2008 R2 服务 器 操作 系统 中 也 提供 了 备份 和 还 原 DHCP 服务 器 配置 的 功能 。 

(1) 打开 DHCP 控制 台 ， 展 开 DHCP 选项 ， 选 择 已 经 建立 好 的 DHCP 服务 器 ， 右 击 服务 
器 名 ， 在 弹出 的 快捷 菜单 中 选择 “备份 ”命令 。 

(2) 弹出 的 窗口 要 求 用 户 选择 备份 路 径 。 默 认 情 况 下 ，DHCP 服务 器 的 配置 信息 是 放 在 系 
统 安装 盘 的 Windows\system32\dhcp\backup 目录 下 。 如 有 必要 ， 可 以 手动 更 改 备份 的 位 置 。 

(3) 当 出 现 配 置 故障 时 ， 如 果 需 要 还 原 DHCP 服务 器 的 配置 信息 ， 右 击 DHCP 服务 器 名 ， 
在 弹出 的 快捷 菜单 中 选择 “还 原 ” 命 令 即 可 。 


4. DHCP 服务 器 的 IP 地 址 与 MAC 地 址 绑 定 策略 


在 DHCP 服务 器 中 ， 通 常会 保留 一 些 卫 地 址 给 一 些 特殊 用 途 的 网 络 设备 ， 如 路 由 器 、 打 
印 服务 器 等 ,如 果 客户 端 私自 将 自己 的 下 地 址 更 改 为 这 些 地 址 , 就 会 造成 这 些 设备 无 法 正常 工 
作 。 这 时 就 需要 合理 地 配置 这 些 人 P 地 址 与 MAC 地 址 进行 绑 定 ， 来 防止 保留 的 下 地 址 被 盗用 。 

打开 DHCP 服务 器 控制 台 ， 然 后 打开 已 经 建立 好 的 DHCP 服务 器 ， 右 击 “ 保 留 ” 选 项 ， 
从 弹出 的 快捷 菜单 中 选择 “新 建 保留 ”命令 。 在“ 名称 ”文本 框 中 输入 保留 的 计算 机 名 ,在 “人 P 
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地 址 ”的 选项 中 选中 需 绑 定 的 他 地 址 ， 这 样 ， 就 为 网 络 设备 添加 了 一 个 MAC 地 址 绑 定 。 
9.6.3 Linux DHCP 服务 器 的 配置 


Linux 下 默认 安装 DHCP 服务 的 配置 文件 为 /etc/dhcpd.conf，dhcp 配置 通常 包括 3 个 部 分 : 
parameters、declarations 和 option。 下 面 分 别 对 这 3 个 部 分 所 涉及 的 参数 进行 解释 。 
(1) parameters: 用 于 说 明 dhcp 服务 工作 的 网 络 配 置 参 数 ， 如 表 9-3 所 示 。 


表 9-3 DHCP 服务 的 网 络 配置 参数 


参数 参数 含义 
ddns-update-style 配置 DHCP-DNS 更 新 模式 。 更 新 模式 包括 none、interim 和 ad-hoc 
default-lease-time 背 定 默 认 的 瑟 地 址 租赁 时 间 ， 单 位 是 秒 
max-lease-time 指定 最 大 租赁 时 间 长 度 ， 单 位 是 秒 
hardware 指定 网 卡 接口 类 型 和 MAC 地 址 
server-name DHCP 服务 器 名 称 
get-lease-hostnames flag 检查 客户 端 使 用 的 他 地 址 
fixed-address ip 分 配给 客户 端 一 个 固定 的 地 址 
authritative 拒绝 不 正确 的 卫 地 址 请 求 


(2) declarations: 用 来 描述 网 络 布局 、 提 供 dhcp 客户 的 他 地 址 分 配 策略 等 信息 ， 如 表 9-4 
所 示 。 


表 9-4 DHCP 服务 的 网 络 布局 


参数 参数 含义 
shared-network 用 来 设置 一 些 瑟 子 网 是 否 共享 同一 物理 网 络 
subnet 描述 一 个 他 地 址 是 否 属于 该 子 网 
range 提供 动态 分 配 下 的 范围 
host 用 于 定义 保留 主机 
group 为 一 组 参数 提供 声明 
allow unknown-clients:deny unknown-client 是 否 动态 分 配 卫 给 未 知 的 使 用 者 
allow bootp:deny bootp 是 否 响应 BOOTP 查询 
Allow booting:deny booting 是 否 响应 TFTP 查询 ， 主 要 用 于 无 盘 工 作 站 
filename 启动 文件 的 名 称 ， 主 要 用 于 无 盘 工 作 站 
next-server 设置 TFTP 服务 器 的 地 址 ， 主 要 用 于 无 盘 工 作 站 


(3) option〈 选 项 ): 用 来 配置 DHCP 可 选 参数 ， 全 部 用 option 关键 字 作为 开始 ， 如 表 9-5 
所 示 。 
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表 9-5 DHCP 服务 的 可 选 参数 
为 客户 端 设 定子 网 掩 码 


为 客户 端 指明 DNS 名 字 
为 客户 端 指明 DNS 服务 器 的 他 地 址 


subnet-mask 


domain-name 


domain-name-servers 


host-name 为 客户 端 指定 主机 的 名 称 

Touters 为 客户 端 设 定 默认 网 关 

broadcast-address 为 客户 端 设 定 广 播 地 址 

ntp-server 为 客户 端 设 定 网 络 时 间 服 务 器 他 地 址 

time-offset 为 客户 端 设 定 和 格林 威 治 时 间 的 偏 移 时 间 ， 单 位 是 秒 


注意 : 如 果 客 户 端 使 用 的 是 Windows 操作 系统 ， 则 不 需要 使 用 host-name 选项 。 
这 里 采用 一 个 简单 的 Dhcpd.conf 的 配置 文件 例子 进行 说 明 。 


ddns-update-style none; 
subnet 192.168.0.0 netmask 255.255.255.0{ 
range 192.168.0.200 192.168.0.254; 
ignore client-updates; 
default-lease-time 3600; 
max-lease-time 7200; 
option routers 192.168.0.1; 
option domain-name"test.org” ; 
option domain-name-servers 192.168.0.2; 
} 
host testl{ hardware ethernet 00:E0:4C:70:33:65;fixed-address 192.168.0.8:} 


其 中 ，dhcp 服务 器 对 192.168.0.0 网 段 主 机 提供 中 地 址 分 配 服务 ， 其 网 关 为 192.168.0.1，dns 
地 址 为 192.168.0.2, dhcp 服务 为 客户 提供 的 下 地址 范围 为 192.168.0.200 一 192.168.0.254, 同时 ， 
对 主机 testl 提供 固定 的 卫 地 址 192.168.0.8。 


9.7 Samba 服务 器 的 配置 


9.7.1 Samba 协议 基础 
20 世纪 80 年 代 早期 ， 由 IBM 和 Sytec 合作 开发 了 一 套用 于 网 络 通信 接口 调用 的 NetBIOS 
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协议 。 在 NetBIOS 出 现 之 后 ， 为 了 使 Windows 主机 间 的 资源 能 够 共享 ，Microsoft 实现 了 一 个 
基于 NetBIOS 协议 的 共享 网 络 文件 /打印 服务 系统 ，Microsoft 称 之 为 SMB (Server Message 
Block) 通信 协议 ， 通 过 SMB 协议 ， 使 网 络 上 的 不 同 计算 机 之 间 能 够 共享 打印 机 、 文 件 和 串口 
通信 等 服务 。 随 着 网 络 应 用 技术 的 发 展 和 Internet 的 流行 , Microsoft 为 了 使 SMB 协议 得 到 更 广 
泛 的 应 用 ， 将 SMB 协议 进行 整理 ， 重 新 命名 为 CIFS (Common Internet File System) ， 使 其 成 
为 网 络 和 Intemet 上 计算 机 之 间 相 互 共享 数据 的 一 个 标准 协议 。 它 可 以 为 网 络 内 部 的 其 他 
Windows 和 Linux 机 器 提供 文件 系统 、 打 印 服务 或 其 他 一 些 信息 服务 。SMB 的 工作 原理 是 让 
NetBIOS 与 SMB 这 两 种 协议 运行 在 TCP/IP 的 通信 协议 上 , 且 通 过 NetBIOS nameserver 使 用 户 
的 Linux 机 器 可 以 在 Windows 的 网 络 邻 居 上 被 看 到 。 所 以 ， 这 样 就 可 以 和 Windows 的 机 器 在 
网 络 上 相互 沟通 、 共 享 文件 与 服务 了 。 

SMB 是 一 种 客户 端 /服务 器 协议 ，SMB 客户 端 使 用 TCP/IP，NetBEUTI 或 IPX/SPX 与 服务 
器 连接 ， 当 使 用 TCP/IP 时 ， 实 际 上 使 用 的 是 TCP/IP 上 的 NetBIOS。 因 此 ， 基 于 SMB 的 网 络 
使 用 的 底层 协议 虽然 不 一 样 ， 但 其 核心 还 是 让 基于 NetBEUI 的 NetBIOS 和 基于 TCP/IP 的 
NetBIOS 这 两 种 协议 都 运行 在 TCP/IP 的 通信 协议 上 ,并 通过 NetBIOS nameserver 使 网 络 中 Linux 
系统 用 户 的 机 器 可 以 在 Windows 的 网 络 邻居 上 被 看 到 ， 从 而 就 可 以 和 Windows 的 机 器 在 网 络 
上 相互 沟通 、 共 享 文件 与 服务 了 。 目 前 类 似 这 种 资源 共享 的 通信 协议 还 有 NFS、Appletalk 和 
Netware 等 。 


9.7.2 Samba 的 主要 功能 


虽然 目前 Linux 操作 系统 得 到 越 来 越 广泛 的 应 用 , 但 是 Windows 操作 系统 仍然 拥有 最 广大 
的 用 户 群 。 因 为 Windows 的 图 形 用 户 界面 做 得 更 好 ， 直 观 而 且 简 单 易 用 , 己 被 广大 用 户 所 瘤 悉 
并 得 到 认同 ， 很 多 人 都 在 使 用 它 。 在 一 个 局 域 网 中 ，Linux 和 Windows 甚至 更 多 种 操作 系统 共 
存 的 情况 屡见不鲜 。 因 此 , 为 了 实现 网 络 中 广大 的 基于 Windows 系统 的 客户 端 与 越 来 越 多 的 基 
于 Linux 系统 的 服务 器 之 间 的 计算 机 系统 集成 和 数据 共享 ， 一 个 有 效 的 办 法 就 是 在 Linux 系统 
中 安装 支持 SMB/CIFS 协议 的 软件 ， 这 样 Windows 客户 端 不 需要 更 改 设置 ， 就 能 如 同 使 用 
Windows 服务 器 一 样 使 用 Linux 系统 上 的 资源 了 ，Samba 就 是 用 来 实现 SMB 的 一 种 软件 。 

具体 来 说 ，Samba 主要 有 以 下 功能 。 

(1) Samba 服务 器 向 Linux 或 Windows 系统 客户 端 提 供 Windows 风格 的 文件 和 打印 机 共 
享 服务 ， 实 现 安装 在 Samba 服务 器 上 的 打印 机 和 文件 系统 的 共享 。 

(2) 支持 WINS 名 字 服 务 器 解析 及 浏览 。 在 Windows 网 络 中 ， 为 了 能 够 利用 网 上 资源 ， 
同时 自己 的 资源 也 能 被 别人 所 利用 ， 各 个 主机 都 定期 地 向 网 上 广播 自己 的 身份 信息 。 而 负责 收 
集 这 些 信息 ， 为 别 的 主机 提供 检索 情报 的 服务 器 被 称 为 浏览 服务 器 。Samba 可 以 有 效 地 完成 这 
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项 功能 ， 在 跨越 网 关 的 时 候 Samba 还 可 以 作为 WINS 服务 器 使 用 。 

(3) 提 供 SMB 客户 功能 .利用 Samba 提供 的 SMB client 程序 可 以 从 Linux 下 以 类 似 于 FTP 
的 方式 访问 Windows 的 资源 。 

(4) 备份 PC 上 的 资源 。 利 用 一 个 叫 smbtar 的 Shell 脚本 ， 可 以 使 用 tar 格式 备份 和 恢复 一 
台 远 程 Windows 上 的 共享 文件 。 

(5) 支持 Windows 域 控 制 器 和 Windows 成 员 服 务 器 对 使 用 Samba 资源 的 用 户 进行 认证 。 
提供 一 个 命令 行 工具 ， 可 以 有 限制 地 支持 Windows 的 某 些 管理 功能 。 

(6) 支持 安全 套 接 层 协议 。 


9.7.3 Samba 的 简单 配置 
下 面 给 出 一 个 samba.conf 的 具体 例子 并 进行 简要 说 明 。 


[global] 
workgroup =MYGROUP 
server string = SAMBA SERVER 
host allow = 192.168.0. 192.168.1. 
Interfaces = 192.168.0.1/24 192.168.1.1/24 
log file = /var/log/samba/log 
max log size = 50 
security = user 
passdb backend = tdbsam 


[homes] 
browseable = no 
writeable = yes 

[Documents] 

Path= /pubdoc/Documents 
writeable = yes 
guest ok = yes 

[cdrom] 

path= /mnt/cdrom 

Tead only = yes 

guest ok = yes 

locking = no 


public = yes 
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preexec = /bin/mount /dev/cdrom 
postexec = /bin/umount /dev/cdrom 
[printers] 
path = /var/spool/samba 
browseable = yes 
Printable = yes 
Tead only = yes 
guest ok = yes 


该 Samba 服务 器 配置 允许 192.168.0.0 和 192.168.1.0 网 段 的 用 户 进行 访问 ，Samba 服务 器 
的 安全 等 级 设置 为 user 级 。 登 录用 户 可 以 访问 自己 的 私人 目录 ， 其 他 人 无 权 访问 。 同 时 ， 
Samba 服务 器 提供 了 访问 documents 目录 以 及 光盘 和 打印 机 的 服务 。 在 访问 光驱 前 ，Samba 服 
务 器 会 将 光驱 加 载 到 /mnt/cdrom 中 ， 并 且 退 出 服务 时 ， 系 统 会 卸载 光驱 。 


9.8 Windows Server 2008 R2 安全 策略 


9.8.1 安全 策略 的 概念 


Windows Server 2008 R2 安全 策略 定义 了 用 户 在 使 用 计算 机 、 运 行 应 用 程序 和 访问 网 络 等 
方面 的 行为 ， 通 过 这 些 约束 避免 对 网 络 安全 性 的 有 意 或 无 意 的 伤害 。 

安全 策略 是 一 个 事先 定义 好 的 一 系列 应 用 计算 机 的 行为 准则 , 应 用 这 些 安全 策略 保证 用 户 
有 一 致 的 工作 方式 ， 防 止 用 户 破坏 计算 机 上 的 各 种 重要 的 配置 ， 保 护 网 络 上 的 敏感 数据 。 

在 Windows Server 2008 R2 中 ， 安 全 策略 分 为 “本 地 安全 策略 ”和 “组 策略 ”两 种 。 本 地 
安全 策略 实现 基于 单个 计算 机 的 安全 性 ， 对 于 较 小 的 企业 或 组 织 ， 或 者 是 在 网 络 中 没有 应 用 活 
动 目录 的 网 络 ， 通 常 使 用 本 地 安全 策略 ; 而 组 策略 可 以 在 站 点 、 组 织 单元 (OU) 或 域 的 范围 内 
实现 ， 通 常 应 用 于 较 大 规模 并 且 实 施 活动 目录 的 网 络 中 。 下 面 分 别 介绍 本 地 安全 策略 和 组 策略 
的 基本 内 容 。 


1. 本 地 安全 策略 


本 地 安全 策略 可 用 来 直接 修改 本 地 计算 机 的 账户 策略 、 本 地 策略 、Windows 防火 墙 和 公 钥 
策略 等 。 通 过 本 地 安全 策略 可 以 控制 以 下 几 项 。 

(1) 访问 计算 机 的 用 户 。 

(2) 授权 用 户 使 用 计算 机 上 的 资源 。 

(3) 是 否 在 事件 日 志 中 记录 用 户 或 组 的 操作 。 
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本 地 安全 策略 包括 账户 策略 、 本 地 策略 、Windows 防火 墙 和 公 钥 策略 等 ， 如 图 9-53 所 示 。 


加 应 用 程序 近 抽 中 应 用 程序 控制 第 咯 
图 严 支 全 第 略 , 在 本 地 计算 机 Internet 协议 安全 性 0Fse 
he 和 六 让 配置 


图 9-53 本 地 安全 策略 


1) 账户 策略 

账户 策略 包含 下 面 两 个 子 集 。 

(1) 密码 策略 : 确定 密码 设置 (例如 强制 执行 和 有 效 期 限 ); 

(2) 账户 锁定 策略 : 确定 某 个 账户 被 锁定 在 系统 之 外 的 情况 和 时 间 长 短 。 

2) 本 地 策略 

本 地 策略 包含 下 面 3 个 子 集 。 

(1) 审核 策略 : 确定 是 否 将 安全 事件 记录 到 计算 机 上 的 安全 日 志 中 ， 同 时 确定 是 否 记 录 登 
录 成 功 或 登录 失败 ， 或 二 者 都 记录 ; 

(2) 用 户 权限 分 配 : 确定 哪些 用 户 或 组 具有 登录 计算 机 的 权利 或 特权 ; 

(3) 安全 选项 : 启用 或 禁用 计算 机 的 安全 设置 ， 例 如 数据 的 数字 信号 、Administrator 和 
Guest 的 账户 名 、 软 盘 驱 动 器 和 光盘 的 访问 、 驱 动 程序 的 安装 以 及 登录 提示 。 

3) 高 级 安全 Windows 防火 墙 

Windows 防火 墙 包含 下 面 3 个 子 集 。 

(1) 入 站 规则 : 设置 来 着 外 部 的 程序 、 端 口 、 卫 地 址 等 访问 权限 和 安全 策略 ; 

(2) 出 站 规则 : 设置 向 外 部 访问 的 程序 、 端 口 、 卫 地 址 等 权限 和 安全 策略 

(3) 连接 安全 规则 : 设置 隔离 、 免 身份 验证 、 服 务 器 到 服务 器 、 隧 道 等 连接 的 安全 规则 和 
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策略 。 

4) 公 钥 策略 

使 用 公 钥 策略 设置 可 以 做 到 以 下 几 点 。 

(1) 让 计算 机 自动 向 企业 证 书 颁发 机 构 提 交 证书 申 请 并 安装 颁发 的 证 书 ， 这 有 助 于 确保 计 
算 机 能 获得 在 组 织 内 执行 公 钥 加 密 操作 (例如 ， 用 于 Intemet 协议 安全 (IPSec) 或 客户 端 验证 ) 
所 需 的 证 书 。 有 关 计 算 机 的 证 书 自动 注册 的 详细 信息 ， 请 参阅 自动 证 书 申请 设置 。 

(2) 创建 和 分 发 证 书信 任 列表 〈CTL)。 证 书信 任 列表 是 根 证 书 颁 发 机 构 (CA) 的 证 书 的 
签名 列表 ， 针 对 于 指定 目的 〈 例 如 客户 身份 验证 或 安全 电子 邮件 ) 来 说 ， 管 理 员 认为 该 列表 值 
得 信任 。 例 如 ， 如 果 认 为 证 书 颁发 机 构 的 证 书 对 IPSec 而 言 可 以 信任 ， 但 对 客户 身份 验证 不 足 
以 信任 ， 则 通过 证 书信 任 列表 可 以 实现 这 种 信任 关系 。 有 关 证 书信 任 列表 的 详细 信息 ， 请 参阅 
企业 信任 策略 。 

(3) 建立 常见 的 受信 任 的 根 证 书 颁发 机 构 。 使 用 该 策略 设置 可 以 使 计算 机 和 用 户 服从 共同 
的 根 证 书 颁发 机 构 〔 除 他 们 已 经 各 自信 任 的 根 证 书 颁发 机 构 之 外 )。 域 中 的 证 书 颁 发 机 构 不 必 
使 用 该 策略 设置 ， 因 为 它们 已 经 获得 了 该 域 中 所 有 用 户 和 计算 机 的 信任 。 该 策略 主要 用 于 在 不 
属于 本 组 织 的 根 证 书 颁 发 机 构 中 建立 信任 。 有 关 根 证 书 颁 发 机 构 的 详细 信息 ， 请 参阅 建立 根 证 
书 颁发 机 构 信 任 的 策略 。 

(4) 添加 加 密 数据 恢复 代理 ， 并 更 改 加 密 数据 恢复 策略 设置 。 有 关 此 策略 设置 的 详细 信息 
请 参阅 恢复 数据 ， 有 关 加 密 文件 系统 (EFS) 的 一 般 概 述 ， 请 参阅 加 密 文件 系统 概述 。 

2. 组 策略 


组 策略 设置 定义 了 系统 管理 员 需 要 管理 的 用 户 桌面 环境 的 多 种 组 件 ， 例 如 ， 用 户 可 用 的 程 
序 、 用 户 桌 面 上 出 现 的 程序 以 及 “开始 ”菜单 选项 。 如 果 要 为 特定 用 户 组 创建 特殊 的 桌面 配置 ， 
请 使 用 组 策略 管理 单元 。 用 户 指定 的 组 策略 设置 包含 在 组 策略 对 象 中 ， 而 组 策略 对 象 又 与 选 定 
的 Active Directory 对 象 〈 即 站 点 、 域 或 组 织 单位 ) 相关 联 。 

组 策略 不 仅 应 用 于 用 户 和 客户 机 ， 还 应 用 于 成 员 服 务 器 、 域 控制 器 以 及 管理 范围 内 的 任何 
其 他 Windows 2000 计算 机 。 默 认 情况 下 ， 应 用 于 域 ( 即 在 域 级 别 应 用 , 刚好 在 Active Directory 
用 户 和 计算 机 管理 单元 的 根 目录 之 上 ) 的 组 策略 会 影响 域 中 的 所 有 计算 机 和 用 户 。Active 
Directory 用 户 和 计算 机 管理 单元 还 提供 内 置 的 域 控制 器 组 织 单位 。 如 果 将 在 那里 保存 域 控制 器 
账户 ， 则 可 以 使 用 组 策略 对 象 “默认 域 控制 器 策略 ”将 域 控制 器 与 其 他 计算 机 分 开 管理 。 

组 策略 包括 影响 用 户 的 “用 户 配 置 ”策略 设置 和 影响 计算 机 的 “计算 机 配置 ”策略 设置 。 
Windows Server 2003 提供 了 组 策略 编辑 器 geditmsc， 界 面 如 图 9-54 所 示 。 
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图 9-54 组 策略 编辑 器 界面 


利用 组 策略 及 其 扩展 ， 可 以 进行 以 下 操作 。 

(1) 通过 “管理 模板 ”管理 基于 注册 表 的 策略 。 组 策略 创建 一 个 包含 注册 表 设 置 的 文件 ， 
这 些 注 册 表 设置 写 入 注册 表 数据 库 的 “用 户 ” 或 “本 地 机 器 ”部 分 。 登 录 到 给 定 的 工作 站 或 服 
务 器 用 户 特定 的 用 户 配置 文件 写 在 注册 表 的 HREY CURRENT _ USER (HKCU) 下 ， 而 计算 机 
特定 设置 写 在 HKEY LOCAL MACHINE (HKLM) 下 。 有 关 步 骤 方 面 的 信息 ， 请 参阅 使 用 管 
理 模板 。 有 关 技 术 方 面 的 详细 信息 ， 请 参阅 Microsoft 网 站 实现 基于 注册 表 的 组 策略 
(http://www.microsoft.com/ )。 

(2) 指定 脚本 。 包 括 诸如 计算 机 启动 、 关 机 、 登 录 和 注销 等 脚本 。 

(3) 重 定向 文件 夹 。 可 以 将 文件 夹 《例如 My Documents 和 My Pictures) 从 本 地 计算 机 上 
的 Documents and Settings 文件 夹 中 重 定向 到 网 络 位 置 上 。 

(4) 管理 应 用 程序 。 有 了 组 策略 ， 就 可 以 通过 使 用 “软件 安装 ”扩展 来 指派 、 发 布 、 更 新 
或 修复 应 用 程序 。 

(5) 指定 安全 措施 选项 。 如 果 要 学 习 如 何 设置 安全 措施 选项 ， 请 参阅 安全 设置 。 


9.8.2 ”账户 密码 策略 设置 
配置 步骤 如 下 。 
(1) 单 击 “ 开 始 ” 一 “管理 工具 ”一 “本 地 安全 策略 ” 打开 “本 地 安全 策略 ”界面 ， 如 


图 9-55 所 示 。 
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昆 本 地 安全 策略 Eee 


文件 @) 操作 查看 0 帮助 00 


和 相册 加 | 加 | 回 届 
[ 画 去 全 设置 
日 蝇 帐户 第 略 密码 必须 符合 复杂 性 要 求 
em 加 密码 长 度 最 小 值 3 个 字符 
田 强 帐户 沙 定 第 略 加 密码 最 把 使 用 期 限 1 天 
| 可 后 ee 加 密码 最 长 使 用 期 限 妇 天 
田 四 高 级 安全 Windows 防火 加 强制 密码 历史 3 个 记 住 的 密码 
刁 网 络 列表 管理 器 第 略 加 用 可 还 原 的 加 密 来 桂 存 密码 已 禁用 
局 公 负 第 略 


回 软件 限制 第 略 

国 应 用 程序 控制 策略 
轧 匡 安全 第 略 , 在 
加 高 级 审核 策略 配置 


(2) 选择 “账户 策略 


本 地 计算 机 


图 9-55 ”账户 策略 中 的 密码 策略 


”目录 下 的 “密码 策略 ”选项 ， 在 右边 的 详细 信息 窗口 中 显示 可 配置 


的 密码 策略 选项 及 当前 配置 值 。 
(3) 双击 “密码 必须 符合 复杂 性 要 求 ” 选项， 选中 “已 启用 ” 单 选 按钮 ， 然 后 单 击 “ 确 定 ” 


按钮 使 配置 更 改 生 效 。 
密码 策略 作用 于 域 账 
(1) 密码 必须 符合 复 
不 能 包含 用 户 的 账户 


户 或 本 地 账户 ， 包 含 以 下 几 个 方面 。 
杂 性 要 求 。 
名 ,不 能 包含 用 户 姓名 中 超过 两 个 连续 字符 的 部 分 ， 至少 有 六 个 字符 


长 。 包 含 以 下 四 类 字符 中 的 三 类 字符 : 


。 ”英文 大 写字 母 ( 
。 ”英文 小 写字 母 ( 
。 “10 个 基本 数字 
。 ” 非 字 母 字 符 例 
(2) 密码 长 度 最 小 值 
(3) 密码 最 长 使 用 期 
码 的 期 间 〈 以 天 为 单位 )。 


A 到 Z) 

a 到 z) 

(0 到 9) 

如 !、$、#、%) 

: 此 安全 设置 确定 用 户 账户 密码 包含 的 最 少 字符 数 。 

限 : 此 安全 设置 确定 在 系统 要 求 用 户 更 改 某 个 密码 之 前 可 以 使 用 该 密 


(4) 密码 最 短 使 用 期 


限 : 此 安全 设置 确定 在 用 户 更 改 某 个 密码 之 前 必须 使 用 该 密码 一 段 时 


Es 


二 
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间 ( 以 天 为 单位 )。 

(5) 强制 密码 历史 : 此 安全 设置 确定 再 次 使 用 某 个 旧 密 码 之 前 必须 与 某 个 用 户 账户 关联 的 
唯一 新 密码 数 。 

(6) 用 可 还 原 的 加 密 来 存储 密码 : 此 安全 设置 确定 操作 系统 是 否 使 用 可 还 原 的 加 密 来 储存 
密码 。 


9.8.3 IPSec 策略 设置 


本 实例 介绍 如 何在 如 图 9-56 所 示 的 Windows Server 2008 R2 网 关上 设置 相应 的 IPSec 策略 ， 
在 Windows Server 2008 R2 网 关 和 第 三 方 网 关 之 间 建立 一 条 IPSec 隧道 ， 使 NetA 和 NetB 之 间 
建立 起 安全 的 通信 通道 。 


NetA .192.168.5.1| 202.1.1.1 202.1.1.21 192. 168.6.1 esp 


S 


| 第 三 方 网 关 
Windows Server 2008 R2 


图 9-56 Windows Server 2008 R2 网 关 


配置 一 个 IPSec 策略 ， 必 须 包 括 创 建 人 PSec 策略 、 创 建筑 选 器 列表 、 配 置 隧道 规则 以 及 进 
行 策略 指派 4 个 部 分 。 


1. 创建 IPSec 策略 


首先 ,在 Windows Server 2008 R2 网 关 创 建 本 地 IPSec 策略 。 如 果 Windows Server 2008 R2 
网 关 是 域 成 员 , 该 域 默 认 将 IPSec 策略 应 用 到 域内 的 所 有 成 员 ，Windows Server 2008 R2 网 关 就 
不 能 有 本 地 IPSec 策略 。 在 此 情况 下 , 可 以 在 Active Directory 中 创建 一 个 组 织 单位 , 使 Windows 
Server 2008 R2 网 关 成 为 该 组 织 单位 的 成 员 , 并 将 IPSec 策略 指派 到 该 组 织 单位 的 “组 策略 对 象 ” 
(CGPO)， 操 作 步 又 如 下 。 

(1) 在 图 9-55 中 ， 右 击 左下 角 的 “ 卫 安全 策略 ， 在 本 地 计算 机 ”选项 ， 单 击 “创建 正安 
全 策略 ”。 

(2) 输入 策略 的 名 称 ， 如 图 9-57 所 示 。 图 中 策略 名 为 IPSec Tunnel with non-Microsoft 
Gateway。 
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IP 安全 物 略 向 导 [xj 
I 


支 全 策略 名 称 
命名 这 个 IP 安全 第 略 并 且 给 出 一 个 简短 的 描述 


名 称 虽 


PSec Tunnel with non-Microsoft Gateway| 


据 述 00): 


《上 - 步 @) 取消 
图 9-57 设置 他 安全 策略 名 称 


(3) 清除 “激活 默认 响应 规则 ” 复 先 框 ， 单 击 “ 下 一 步 ” 按 饥 。 

(4) 逐步 单 击 “ 下 一 步 ” 按 乌 完 成 组 策略 的 创建 。 

2， 创建 第 选 器 列表 

需要 建立 两 个 第 先 器 ， 一 个 用 于 匹配 从 NetA 到 NetB (隧道 1) 的 数据 包 ， 另 一 个 用 于 匹 
配 从 NetB 到 NetA 《隧道 2) 的 数据 包 。 下 面 以 隧道 1 为 例 来 说 明 第 选 器 列表 的 创建 方法 。 

(1) 在 新 策略 属性 中 清除 “使 用 添加 向 导 ” 复 选 框 ， 单 击 “添加 ”按钮 以 创建 新 规则 。 

(2) 选择 “了 币 选 器 列表 ”选项 卡 。 

(3) 单 击 “ 添 加 ” 按 包 为 利 选 器 列表 笨 入 相应 的 名 称 ， 例 如 “NetAto NetB"， 清 除 “使 用 
添加 向 导 ” 复 选 框 并 单 击 “ 添 加 ”按钮 ， 弹 出 “了 第 选 器 属性 ”对 话 框 ， 如 图 9-58 所 示 。 

(4) 在 “ 源 地 址 ” 框 中 选中 “一 个 特定 的 王 地 址 域 子 网 ”在 “了 地 址 或 子 网 ”文本 框 中 
输入 NetA 的 下 地 址 “192.168.5.0/24”。 

(5) 在 “目标 地 址 ” 框 中 选择 “一 个 特定 的 全 地 址 域 子 网 ”在 “IP 地 址 或 子 网 ”文本 杠 
中 输入 NetB 的 下 地 址 “192.168.6.0/24”。 

(6) 清除 “镜像 ” 复 选 杠 。 

(7) 选择 “协议 ”选项 卡 。 将 “选择 协议 类 型 ”设置 为 “任何 ”(IPSec 隧道 不 支持 协议 或 
端口 特定 的 短 选 器 )， 单 击 “ 确 定 ”完成 配置 ， 如 图 9-59 所 示 。 


司 4 恒 


国医 
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ETE33 四 
地 址 | 协议 | 氢 述 | 


三 源 地 址 G): 
一 个 特定 的 IP 地 址 或 子 网 S| 
王 地 址 或 子 网 0); [192 163.5.0/24 


「 目 标 地 址 0) 
一 个 特定 的 地 直 或 了 网 S| 


亚 地 址 或 子 网 8); 92. 1683.6.0/24 


厂 镜像 p)。 与 源 地 址 和 目标 地 址 正好 相反 的 数据 包 相 匹配 * 


CE ] ws | | CE |] wh 
图 9-58 ”筛选 器 NetA to NetB 的 源 目标 地 址 设 定 图 9-59 ”筛选 器 NetA to NetB 的 协议 属性 


3.， 配置 隧道 规则 


IPSec 策略 是 使 用 IKE 主 模式 的 默认 设置 创建 的 。IPSec 隧道 由 两 个 规则 组 成 ， 每 个 规则 
指定 一 个 隧道 终结 点 ， 因 为 有 两 个 隧道 终结 点 ， 所 以 就 有 两 个 规则 。 每 个 规则 中 的 筛选 器 必须 
代表 发 送 到 此 规则 的 隧道 终结 点 的 中 数据 包 中 的 源 和 目标 瑟 地 址 。 下 面 以 NetA 到 NetB 隧道 
配置 规则 为 例 来 说 明 隧道 规则 的 配置 。 

(1) 选择 “IP 筛选 器 列表 ”选项 卡 ， 选 中 创建 的 筛选 器 列表 。 

(2) 选择 “隧道 设置 ”选项 卡 ， 单 击 “ 隧 道 终结 点 由 此 IP 地 址 指定 ” 框 ， 然 后 输入 第 三 
方 网 关外 部 网 络 适配器 的 下 地 址 “202.1.1.2”， 如 图 9-60 所 示 。 

(3) 选择 “连接 类 型 ”选项 卡 ， 选 中 “所 有 网 络 连接 ”选项 。 

(4) 选择 “筛选 器 操作 ”选项 卡 ， 清 除 “ 使 用 添加 向 导 ” 复 选 框 ， 然 后 单 击 “ 添 加 ”按钮 
以 创建 新 的 筛选 器 操作 “〔 因 为 默认 操作 允许 以 明文 形式 接收 数据 流 )， 弹 出 “新 筛选 器 操作 属 
性 ”对 话 框 ， 如 图 9-61 所 示 。 

(5) 保持 “协商 安全 ”选项 为 启用 状态 ,清除 “接受 不 安全 的 通信 ， 但 始终 用 IPSec 响应 ” 
复 选 框 ( 以 确保 安全 操作 )。 

(6) 单 击 “ 添 加 ”按钮 保持“ 完整 性 和 加 密 ” 选 项 为 选中 状态 (如 果 要 定义 特定 的 算法 
和 会 话 密 钥 寿 命 ， 可 选择 “ 自 定义 (专家 用 户 )” 选 项 )。 

(7) 选择 “常规 ”选项 卡 ， 输 入 新 筛选 器 操作 的 名 称 〈 例 如 人 PSectunnel:-ESP DES/MD5)。 

(8) 选中 刚 创建 的 筛选 器 操作 ， 选 择 “ 身 份 验证 方法 ”选项 卡 ， 配 置 所 需 的 身份 验证 方法 
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(如 果 为 了 进行 测试 ， 则 使 用 “ 预 共享 密 钥 ”否则 使 用 “证 书 ”)。 


联 稍 选 器 列表 | 第 选 器 操作 | 身份 验证 方法 “隧道 设置 | 连接 类 型 | 安全 方法 | 常规 | 
到 时 个 许可 员 
| 
IPsec 日 (6 协商 安全 名; 
此 其 风 不 指定 Tsee 隘 道 (1) 
人 隘 沁 终结 点 由 此 I 地 址 指定 
IPv4 隧道 终结 点 : 
Es 1.1.4 
IEv6 隧道 终结 点 
一 
厂 接受 不 安全 的 通讯 ， 但 始终 用 IPsec 响应 () 
厂 如 果 无 法 建立 安全 连接 ， 风 多 许 回 退 到 不 安全 的 通信 0) 
厂 使 用 会 话 密 加 完全 向 前 保密 FFS) 0 


CC 喧 |] 了 |_ 训 Ww | 确定 取消 ”| 应 用 om | 
图 9-60 ”筛选 器 NetA to NetB 的 隧道 设置 图 9-61 筛选 器 操作 属性 的 设置 


4. 进行 策略 指派 

右 击 设置 好 的 了 P 安全 策略 “IPSecTunnel with non-Microsoft Gateway”， 然 后 单 击 “指定 ” 
按钮 ， 该 策略 旁边 的 文件 夹 图 标 中 若 出 现 一 个 绿色 箭头 ， 即 表明 安装 成 功 。 
9.8.4 ”Web 站 点 数字 证 书 

Web 站 点 数字 证 书 的 申请 和 安装 包括 申请 数字 证 书 、 下 载 数字 证 书 、 安 装 数字 证 书 3 个 部 分 。 

1. 添加 CA 证 书 服务 

(1) 单 击 “ 开 始 ” 一 “管理 工具 ”一 “服务 器 管理 器 ”一 “角色 ”一 “添加 角色 ”， 打开 
“添加 角色 向 导 ” 界 面 ， 勾 选 “Active Directory 证 书 服务 ”， 单 击 “ 下 一 步 ”按钮 ， 如 图 9-62 
所 示 。 

(2) 选择 角色 服务 ， 勾 选 “ 证 书 颁 发 机 构 ”， 单 击 “ 下 一 步 ”按钮 ， 如 图 9-63 所 示 。 

(3) 选择 安装 类 型 ，“ 企 业 ” 选 项 需要 域 环境 ， 而 “独立 ”选择 不 需要 域 环境 ， 此 处 可 根 
据 实际 情况 选择 ， 本 示例 中 ， 勾 选 “ 独 立 ” 单 选 框 ， 单 击 “ 下 一 步 ” 按 钮 ， 如 图 9-64 所 示 。 
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Eg a | 


sso st | 


图 9-62 选择 服务 器 角色 图 9-63 ”选择 角色 服务 


(4) 选择 CA 类 型 ， 由 于 是 第 一 次 安装 ， 勾 选 “ 根 ” 单 选 框 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 
9-65 所 示 。 


嘱 re 雇 : s 


mn | nh 
他 a = EE 
EE dd NaN 0 Res, Waglns Na Ra 
“oy -一 om 
Fi TT 夫人 加 机 0 RN rE 
mm ] 
四 
hl oem 
| Form 
bi rm 
a 
玲 
人 全 


cso a 


eT = rn = | 


图 9-64 选择 安装 类 型 图 9-65 选择 CA 类 型 


(5) 勾 选 “新 建 私 钥 ” 单 选 框 ， 单 击 “ 下 一 步 ” 按 钮 ， 根 据 提示 ， 选 择 加 密 算 法 。 
(6) 配置 CA 名 称 ， 可 以 修改 ， 也 可 以 使 用 默认 名 称 ， 本 示例 中 手动 修改 为 “test-CA”， 
单 击 “ 下 一 步 ”按钮 ， 如 图 9-66 所 示 。 


(7) 设置 有 效 期 ,默认 为 5 年 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 9-67 所 示 。 
(8) 确认 安装 选择 ， 单 击 “ 安 装 ”， 安 装 完成 后 ， 单 击 “ 关 闭 ” 按 钮 ， 完 成 安装 。 
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9-66 配置 CA 名 称 9-67 设置 CA 证 书 有 效 期 


2. 配置 CA 证 书 


(1) 选择 “Web 服务 器 (HS)” 根 节点 ， 在 “功能 视图 ”中 找到 “服务 器 证 书 ” 如 图 9-68 
所 示 。 
(2) 双击 “服务 器 证 书 ” 找到 创建 的 名 为 “test-CA” 的 证 书 ， 单 击 右 侧 “操作 ”栏目 的 
“创建 证 书 申请 ”在 如 图 9-69 所 示 的 窗口 中 进行 配置 , 其 中 通用 名 称 文本 框 必须 输入 域名 或 本 
机 下 地 址 ， 其 他 项 目 可 自行 填写 。 


图 9-68 IIS 功能 视图 9-69 ”创建 证 书 申请 


(3) 选择 并 填写 需要 生成 文件 的 保存 路 径 与 文件 名 ,此 文件 下 面 的 步骤 中 将 会 被 使 用 ， 如 
图 9-70 所 示 。 
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(4) 在 正 浏 览 器 打开 网 址 “http://localhost/certsrv/”， 单 击 “ 申 请 证 书 ”， 如 图 9-71 所 示 。 


遍 文件 名 


为 下 书 申请 指定 文件 名 * 此 信息 可 以 发送 给 证 书 乱 冯 机 构 签名 * 
为 下 书 申请 措 定 一 个 文件 名 呈 ) 
EFNet to Desrtop\ back tz 到 


上 = 页 的 | 下 一步 厅 取消 


图 9-70 配置 证 书 保存 文件 


(5) 单 击 “ 高 级 证 书 申请 ”， 如 图 9-72 所 示 。 
(6) 单 击 “ 使 用 base64 编码 的 CMC 或 PKCS#10 文件 提交 一 个 证 书 申请 ， 或 使 用 Base64 
编码 的 PKCS#7 文件 续 订 证 书 申请 ”， 如 图 9-73 所 示 。 


实 路 基 夫 | 高 已 建议 有 站 ” 吾 ] 本 页 快讯 库 ~ 
a hetive Directory 证 和 有 务 图 | 


欢迎 使 用 


使 用 此 网 站 为 您 的 Web 浏览 器 、 电 子 邮件 客户 端 或 其 他 程序 申请 证 书 。 通 
您 也 可 以 使 用 此 网 站 下 载 证 书 颁 发 机 构 (CA) 证 书 、 证 书 链 ， 或 证 书 吊销 列 寺 
有 关 Aclive Direclory 证 书 服务 的 详细 信息 ， 请 参阅 Aclive Direclory 证 
地 


图 9-71 申请 证 书 


实 收 呈 天 | 次 旧 ] 建 议 网 站 。 忆 ] 网 页 快讯 床 > 
税则 erosoft Active Directory 证 书 服务 


帘 收 二 天 | 次 已 涝 WP 站 ”书库 


荐 出 crosoft hetive Directory 证 书 服务 


图 9-72 ”高 级 证 书 申请 


CA 的 第 略 决 定 您 可 以 申请 的 证 书 类 31。 单 击 下 列 选 项 之 一 来 : 
便于 并 向 此 CA 提交 一 个 申请 。 


图 9-73 续 订 证 书 申请 


(7) 将 之 前 步骤 (3) 中 保存 的 密 钥 文档 文件 找到 并 打开 ， 将 里 面 的 文本 信息 复制 并 粘贴 
到 “Base-64 编码 的 证 书 申请 ”文本 框 中 ， 单 击 “ 提 交 ”， 如 图 9-74 所 示 。 

(8) 申请 已 经 提交 给 证 书 服务 器 ， 如 图 9-75 所 示 。 

(9) 单 击 “ 开 始 ” 一 “运行 ”， 输 入 certsrvmsc， 打 开 “ 证 书 颁发 机 构 ” 界 面 ， 单 击 “ 挂 
起 的 申请 ”， 找 到 刚才 提交 的 证 书 申请 ， 右 击 选择 “颁发 ”。 

(10) 在 正 浏 览 器 打开 网 址 “http://localhost/certsrv/”， 单 击 “ 查 看 挂 起 的 证 书 申请 的 状 
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态 ”， 新 页 面 打开 之 后 ， 单 击 “保存 的 申请 证 书 ”， 进 入 新 页 面 后 ， 勾 选 “Base 64 编码 ”， 然 
后 单 击 “ 下 载 证 书 ”， 将 证 书 保 存 到 指定 位 置 ， 后 面 步骤 中 会 使 用 到 此 文件 ， 如 图 9-76 所 示 。 


提交 一 个 证 书 申请 或 续 订 申请 


要 提交 一 个 保存 的 用 请 到 CA ,在 “保存 的 申请” 框 中 粘贴 一 个 由 外 部 漠 以 1 Web 服务 器 ) 生 成 多 
保存 的 申请 : 


Bee- 
bat 
省 
3 0 或 。 | azcosE+palaci 
人 


用 加 民 性 : 


图 9-74 ”Base64 编码 证 书 申请 


(11) 选择 “Web 服务 器 (HIS) ” 根 节点 ， 


GO- 
窜 收 藏 夫 | 诲 EE 于 VS。 用 网 珊 快讯 二 ~ 
Ea ft Active Directory 证 书 服务 

] 


证 书 正在 挂 起 


您 的 证 书 申 请 已 经 收 到 。 但 是 ,您 必须 等 待 管理 员 颁 发 您 申请 的 证 书 
您 的 申请 ID 为 4 
请 在 一 天 或 两 天 内 返回 此 网 站 以 检索 您 的 证 书 。 


注意 : 您 必须 用 此 Web 浏览 器 在 10 天 内 返回 才能 检索 您 的 证 书 


图 9-75 将 申请 提交 证 书 服务 器 


在 “功能 视图 ”中 找到 “服务 器 证 书 ”， 双 击 
弹出 “服务 器 证 书 ”页面 ， 单 击 “ 完 成 证 书 申请 ”， 选 择 步 又 (10〉 中 保存 的 文件 ，“ 好 记名 
称 ” 文 本 框 填 入 “webCA”， 此 处 可 以 自 定义 输入 名 称 ， 如 图 9-77 所 示 。 

ETT EE 
证书 已 也 发 EU 指定 证 书 颁发 机 构 响应 
您 申请 的 证 书 已 颁发 给 您 。 高 证 书 省 发 机 本 和 文件 来 充 成 先前 创建 的 证 书 由 请。 
图 再 于 您 想 打 开 或 保存 此 文件 吗 ? PR 
和 名称 eartner cr 
上 
来 源 ， lecalhest 
0) |_ mre | CR] 
Na 


图 9-76 下 载 证 书 


3. 配置 HTTPS 


(1) 选择 “Web 服务 器 (IIS) ” 根 节点 ， 


图 9-77 完成 证 书 申请 


打开 “ 绑 定 ” 界 面 ， 类 型 选择 “https”，SSL 


证 书 选 择 以 上 步骤 中 创建 的 证 书 “webCA”， 单 击 “ 确 定 ”， 如 图 9-78 所 示 。 
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(2) 单 击 左边 菜单 “CertSrv”， 在 “功能 视图 ” 中 找到 “SSL 设置 ”， 双 击 打开 ， 勾 选 “ 要 
求 SSL” 复 选 框 ， 单 击 “ 应 用 ”， 如 图 9-79 所 示 。 


号 ”局 = 马 鸟 金马 ET 
呈 角色 ”IT 尿 置 文 ET 全 球 化 eT 蜂 催 权 “WeT 撞 作 织 eT 用 户 srr 亩 了 GS | 他 » rar » RS ，Detmlt Web Site » Certsrv » 


SSL 设置 
添加 网 站 铸 定 拿 
类 型 四: 理 地 址 加 端口 中 ): Ea 您 可 以 在 此 页 上 修 隐 网 站 或 应 用 程序 内 容 的 SSL 设置 
htt https 可 ho.o.221% 可 ks 克 要 求 SSLO) 
主人 名 0 客户 EE 书 
区 sspnet_client G 知 略 加 
kad 一 Co 人 接受 内 ) 
4 习 wW Certsrv (oT 
En [wn | 
FSE 再 村 策 下 至 存 本 
图 9-78 绑 定 HITPS 图 9-79 SSL 设置 


(3) 在 正 浏 览 器 打开 网 址 “https://10.0.252.199/”， 成 功 显示 测试 页 面 ， 表 示 配 置 成 功 ， 
如 图 9-80 所 示 。 


https://10.0.25 Ine 
eS 
BS > 页 快讯 床 > 一 x 
便 收 屿 类 | 六 EE] 建 WBS 。 下] 网 页 快讯 订 本 网 站 标识 
臣 https://10.0.252.199/ 
] test-Ch 已 将 此 让 点 标识 为 r 
HTTPS 测 试 页 面 ! 10.0. 252. 199 
与 该 服务 器 的 这 次 连接 是 加 密 的 。 
我 应 该 信任 该 站 点 中 ? 
查看 证 书 


图 9-80 https 测试 页 面 
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组 网 技术 主要 是 部 署 和 配置 网 络 设备 ， 本 章 主要 介绍 交换 机 和 路 由 器 的 基本 知识 ， 并 通过 
实例 介绍 它们 的 配置 和 使 用 方法 。 


10.1 


01 


交换 机 和 路 由 器 


交换 机 基础 


1. 交换 机 的 分 类 


Cl 


根据 交换 方式 划分 。 

存储 转发 式 交换 (Store and Forward)。 交 换 机 对 输入 的 数据 包 先进 行 缓存 、 验 证 、 碎 
片 过 滤 ， 然 后 再 进行 转发 。 这 种 交换 方式 延 时 大 ， 但 是 可 以 提供 差错 校 验 ， 并 支持 不 
同 速度 的 输入 、 输 出 端口 间 的 交换 〈 非 对 称 交换 )， 是 交换 机 的 主流 工作 方式 。 
直通 式 交 换 (Cut-through)。 直 通 式 交换 类 似 于 采用 交叉 矩阵 的 电话 交换 机 ， 它 在 输 
入 端口 扫描 到 目标 地 址 后 立即 开始 转发 。 这 种 交换 方式 的 优点 是 延迟 小 、 交 换 速 度 快 ; 
其 缺点 是 没有 检 错 能 力 ， 不 能 实现 非 对 称 交换 ， 并 且 当 交换 机 的 端口 增加 时 ， 交 换算 
阵 实 现 起 来 比较 困难 。 

碎片 过 滤 式 交换 (Fragment Free)。 这 是 介 于 直通 式 和 存储 转发 式 之 间 的 一 种 解决 方 
案 。 交 换 机 在 开始 转发 前 先 检查 数据 包 的 长 度 是 否 够 64 个 字 节 , 如 果 小 于 64 个 字 节 ， 
说 明 是 冲突 碎片 ， 则 丢弃 ; 如 果 大 于 等 于 64 个 字 节 ， 则 转发 该 包 。 这 种 转发 方式 的 处 
理 速度 介 于 前 两 者 之 间 ， 被 广泛 应 用 于 中 低档 交换 机 中 。 

根据 交换 的 协议 层 划分 。 

第 二 层 交 换 。 根 据 MAC 地 址 进行 交换 。 

第 三 层 交 换 。 根 据 网 络 层 地 址 (IP 地 址 ) 进行 交换 。 

多 层 交 换 。 根 据 第 四 层 端 口号 或 应 用 协议 进行 交换 。 

根据 交换 机 结构 划分 。 

固定 端口 交换 机 。 这 种 交换 机 提供 有 限 数量 的 固定 类 型 端口 。 例 如 ， 华 为 
S2750-28TP-EI-AC 是 一 种 快速 以 太 网 交换 机 , 具有 24 个 10/100Base-TX 以 太 网 端口 ， 
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4 个 千 兆 SFP，2 个 复 用 的 千 光 10/100/1000Base-T 以 太 网 端口 Combo。 

。 ”模块 化 交换 机 。 这 种 交换 机 的 机 箱 中 预 留 了 一 定数 量 的 插 槽 , 用 户 可 以 根据 网 络 扩充 
的 需求 选择 不 同类 型 的 端口 模块 。 这 种 交换 机 具有 更 大 的 可 扩充 性 。 

(4) 根据 配置 方式 划分 。 

。 推倒 型 交换 机 。 这 种 交换 机 具有 专门 的 堆 倒 端口 ， 用 堆 释 电缆 把 一 台 交 换 机 的 UP 口 
连接 到 另 一 台 交 换 机 的 DOWN 口 ， 以 实现 端口 数量 的 扩充 ， 如 图 10-1 所 示 。 一 般 交 
换 机 能 够 堆 琶 4 一 9 层 ， 堆 全 后 的 所 有 交换 机 可 以 当 作 一 台 交 换 机 来 统一 管理 。 

。 ” 非 堆 型 交换 机 。 这 种 交换 机 没有 堆 释 端口 ， 但 可 以 通过 级 连 方式 进行 扩充 。 级 连 模 
式 使 用 以 太 网 端口 (100M FE 端口 、GE 端口 或 10GE 端口 ) 进行 层次 间 互 联 ， 如 
图 10-2 所 示 。 可 以 通过 统一 的 网 管 平台 实现 对 全 网 设备 的 管理 。 为 了 保证 网 络 运行 
的 效率 ， 级 连 层 数 一 般 不 要 超过 4 层 。 


~ 


MASTER 
成 为 中 心 管理 设备 


SLAVE 


_ 增加 这 条 链 路 实现 匈 余 
但 不 可 能 同时 生效 


图 10-1 交换 机 的 堆肥 图 10-2 交换 机 的 级 连 


(5) 根据 管理 类 型 划分 。 

。 ”网 管 型 交换 机 。 这 种 交换 机 支持 简单 网 络 管理 协议 ‘SNMP〉 和 管理 信息 库 (MIB)， 
可 以 指定 卫 地 址 ， 实 现 远程 配置 、 监 视 和 管理 。 

。 ” 非 网 管 型 交换 机 。 这 种 交换 机 不 支持 SNMP 和 MIB， 只 能 根据 MAC 地 址 进行 交换 ， 
无 法 进行 功能 配置 和 管理 。 

。 ”智能 型 交换 机 。 这 种 交换 机 支持 基于 Web 的 图 形 化 管理 和 MIB-I， 无 须 使 用 复杂 的 
命令 行 管理 方式 ， 配 置 和 维护 比较 容易 。 更 重要 的 是 ， 智 能 型 交换 机 提供 QoS 管理 、 
VPN、 用 户 认 证 以 及 多 媒体 传输 等 复杂 的 应 用 功能 ， 而 不 仅仅 是 转发 数据 分 组 。 

(6) 根据 层次 型 结构 划分 。 
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网 络 的 分 层 结构 把 复杂 的 大 型 网 络 分 解 为 多 个 容易 管理 的 小 型 网 络 ， 每 一 层 交 换 设备 分 别 
实现 不 同 的 特定 任务 。 分 层 的 网 络 设计 如 图 10-3 所 示 。 


核心 层 交 换 机 


汇聚 层 交换 机 


接 入 层 交 换 机 
图 10-3 分 级 网 络 结 


。 ” 接 入 层 交 换 机 。 接 入 层 是 工作 站 连接 网 络 的 入 口 ， 实 现 用 户 的 网 络 访问 控制 ， 这 一 层 
的 交换 机 应 该 以 低 成 本 提供 高 密度 的 接 入 端口 。 例 如 ， 华 为 S2700 系列 最 多 可 以 提供 
52 个 快速 以 太 网 端口 ， 适 合 中 小 型 企业 网 络 使 用 。 

。 汇聚 层 交 换 机 。 汇 聚 层 将 网 络 划分 为 多 个 广播 /组 播 域 ， 可 以 实现 VLAN 间 的 路 由 选 
择 ， 并 通过 访问 控制 列表 实现 分 组 过 滤 。 这 一 层 交 换 机 的 端口 数量 和 交换 速率 要 求 不 
是 很 高 ， 但 应 提供 第 三 层 交 换 功能 。 例 如 ， 华 为 S5700-SI 系列 交换 机 具有 多 个 
10M/100M/1000M Base-T 端口 和 千 兆 SFP 端口 ， 可 以 支持 多 种 光 模 块 收发 器 ， 同 时 
提供 先进 的 服务 质量 (QoS) 管理 和 速度 限制 ， 以 及 安全 访问 控制 列表 、 组 播 管理 和 
高 性 能 的 下 路 由 。 

。 ”核心 层 交 换 机 。 核 心 层 应 采用 可 扩展 的 高 性 能 交换 机 组 成 园区 网 的 主干 线路 ,提供 链 
路 元 余 、 路 由 元 余 、VLAN 中 继 和 负载 均衡 等 功能 ， 并 且 与 汇聚 层 交 换 机 具有 兼容 的 
技术 ,支持 相同 的 协议 。 例 如 ， 华 为 S6700 系列 交换 机 就 是 一 种 适合 部 署 到 核心 网 络 
的 交换 机 。 

2. 交换 机 的 性 能 参数 

(1) 端口 类 型 。 

。 。 双 绞 线 端口 。 双 绞 线 端口 主要 有 100Mbps 和 1000Mbps 两 种 。 百 兆 端 口 可 连接 工作 站 ， 
千 兆 端口 一 般 用 于 级 连 。 

。 ”光纤 端口 。SC 端口 (Subscriber Connector) 是 一 种 光纤 端口 ， 可 提供 千 兆 位 数据 传输 
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速率 ， 通 常用 于 连接 服务 器 的 光纤 网 卡 。 这 种 端口 以 “100bFX” 标 注 ， 如 图 10-4 所 
示 。 交 换 机 的 光纤 端口 都 是 两 个 ， 分别 是 一 发 一 收 ， 光 纤 跳 线 也 必须 是 两 根 ， 和 否则 端 
口 间 无 法 进行 通信 。SC 型 光纤 连接 器 如 图 10-5 所 示 。 


图 10-4 SC 型 光纤 端口 图 10-5 SC 型 光纤 连接 器 


。 ”GBIC 端口 。 交 换 机 上 的 GBIC (Giga Bit-rate Interface Converter，GBIC) 插 档 (Slot) 
用 于 安装 千 兆 位 端口 光电 转换 器 。GBIC 模块 是 将 位 电信 号 转换 为 光 信 和 号 的 热 插 拔 器 
件 ， 分 为 用 于 级 连 的 GBIC 模块 和 用 于 堆 受 的 GBIC 模块 ， 如 图 10-6 所 示 。 用 于 级 连 
的 GBIC 模块 又 分 为 适用 于 多 模 光 纤 (MMF) 或 单 模 光纤 (SMF) 的 不 同类 型 。 


图 10-6 GBIC 端口 和 GBIC 模块 


。 SFP 端口 。 小 型 机 架 可 插 拔 设 备 〔Small Form-factor Pluggable，SFP) 是 GBIC 的 升级 
版 本 ， 其 功能 基本 和 GBIC 一 致 ， 但 体积 减少 一 半 ， 可 以 在 相同 的 面板 上 配置 更 多 的 
端口 。 有 时 也 称 SFP 模块 为 小 型 化 GBIC (MINI-GBIC) 模块 ， 如 图 10-7 所 示 。 


图 10-7 SFP 模块 
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(2) 传输 模式 。 
。 ” 半 双 工 (half-duplex)。 半 双 工 交换 机 在 一 个 时 间 段 内 只 能 有 一 个 动作 发 生 , 发送 或 者 
接收 数据 , 两 个 动作 不 能 同时 进行 。 早期 的 集线器 就 是 半 双 工 产品 , 随 着 技术 的 进步 ， 

半 双 工 方式 的 产品 已 逐渐 被 淘汰 。 

。 ”全 双 工 (fall-duplex)。 全 双 工 交换 机 在 发 送 数据 的 同时 也 能 接收 数据 ， 两 者 可 同步 进 

行 。 全 双 工 传输 需要 使 用 两 对 双 绞 线 或 两 根 光纤 ,一般 双 绞 线 端口 和 光纤 端口 都 支持 

全 双 工 传输 模式 。 这 种 传输 模式 在 一 对 主机 之 间 建 立 了 一 条 虚拟 的 专用 连接 ， 使 得 数 
据 速 率 成 倍 提高 。 

。 ”全 双 工 / 半 双 工 自 适应 。 在 以 上 两 种 方式 之 间 可 以 自动 切换 。 在 光纤 接口 中 ， 
1000Base-TX 支持 自 适应 ， 而 1000Base-SX 、1000Base-LX 、1000Base-LH 和 
1000Base-ZX 均 不 支持 自 适应 ,不 同 速率 和 传输 模式 的 光纤 端口 间 无 法 进行 通信 ， 因 
而 要 求 相互 连接 的 光纤 端口 必须 具有 完全 相同 的 传输 速率 和 传输 模式 , 否则 将 导致 连 
通 故 障 。 千 兆 光纤 端口 标准 见 第 4 章 表 4-10。 

(3) 包 转 发 率 。 包 转发 率 也 称 端口 吞吐 率 ， 指 交换 机 进行 数据 包 转 发 的 能 力 ， 单 位 为 pps 
(package per second)。 包 转发 速率 是 以 单位 时 间 内 发 送 64 字 节 数 据 包 的 个 数 作为 计算 基准 的 。 
对 于 千 兆 以 太 网 来 说 ， 计 算 方法 如 下 : 

1000Mbps = 8b = (64+8+12) B=1 488 095pps 

当 以 太 网 帧 为 64 字 节 时 ， 需 考虑 8 字 节 的 帧 头 和 12 字 节 的 帧 间 除 开销 。 据 此 ， 一 台 交换 
机 的 包 转 发 速率 的 计算 方法 如 下 : 

包 转 发 率 = 千 H 兆 端口 数 X1.488Mpps 十 百 兆 端 口 数 X0.1488Mpps+ 其 余 端 口 数 X 相 应 包 转发 数 

(4) 背 板 带 宽 。 交换机 的 背 板 带宽 是 指 交 换 机 端口 处 理 器 和 数据 总 线 之 间 单 位 时 间 内 所 能 
传输 的 最 大 数据 量 。 背 板 带宽 标志 了 一 台 交换 机 总 的 交换 能 力 ， 单 位 为 Gbps。 一 般 交换 机 的 背 
板 带宽 从 几 个 Gbps 到 上 千 个 Gbps。 交 换 机 所 有 端口 能 提供 的 总 带宽 的 计算 公式 为 : 

总 带宽 = 端口 数 X 端 口 速率 X2 (全 双 工 模式 ) 

如 果 总 带宽 小 于 标 称 背 板 带 宽 ， 那 么 可 以 认为 背 板 带宽 是 线 速 的 。 例 如 ， 华 为 S5700 系列 
交换 机 的 背 板 带宽 可 扩展 到 256Gbps， 包 转发 速率 达到 132Mpps。 

(5) MAC 地 址 数 。MAC 地 址 数 是 指 交 换 机 的 MAC 地 址 表 中 可 以 存储 的 MAC 地 址 数量 。 
交换 机 将 已 识别 的 网 络 节点 的 MAC 地 址 放 入 MAC 地 址 表 中 ，MAC 地 址 表 存 放 在 交换 机 的 组 
存 中 ， 当 需要 向 目标 地 址 发 送 数据 时 ， 交 换 机 就 在 MAC 地 址 表 中 查找 相应 MAC 地 址 的 节点 
位 置 ， 然 后 直接 向 这 个 位 置 的 节点 转发 。 

不 同 档次 的 交换 机 端口 所 能 够 支持 的 MAC 地 址 数量 不 同 。 在 交换 机 的 每 个 端口 ， 都 需 
要 足够 的 缓存 来 记忆 这 些 MAC 地 址 ， 所 以 缓存 容量 的 大 小 决定 了 交换 机 所 能 记忆 的 MAC 地 
址 数 。 
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(6) VLAN 表 项 。VLAN 是 一 个 独立 的 广播 域 ， 可 有 效 地 防止 广播 风暴 。 由 于 VLAN 基 
于 逻辑 连接 而 不 是 物理 连接 ， 因 此 配置 十 分 灵活 。 在 有 第 三 层 交 换 功 能 的 基础 上 ，VLAN 之 间 
也 可 以 通信 。 最 大 VLAN 数量 反映 了 一 台 交换 机 所 能 支持 的 最 大 VLAN 数目 。 目 前 ， 交 换 机 
VLAN 表 项 数目 在 1024 以 上 ， 可 以 满足 一 般 企业 的 需要 。 

(7) 机 架 插 槽 数 。 固 定 配置 不 带 扩展 槽 的 交换 机 仅 支持 一 种 类 型 的 网 络 ， 固 定 配置 带 扩 展 
槽 的 交换 机 和 机 架 式 交换 机 可 支持 一 种 以 上 类 型 的 网 络 ， 例 如 以 太 网 、 快 速 以 太 网 、 千 兆 以 太 
网 、ATM 网 、 令 牌 环 网 及 FDDI 等 。 一 台 交 换 机 所 支持 的 网 络 类 型 越 多 ， 可 扩展 性 就 越 强 。 机 
架 揪 槽 数 是 指 机 架 式 交换 机 所 能 安插 的 最 大 模块 数 ， 扩 展 槽 数 是 指 固 定 配置 带 扩展 槽 的 交换 机 
所 能 安插 的 最 大 模块 数 。 


3， 交 换 机 支持 的 以 太 网 协议 
有 关 交 换 机 的 以 太 网 协议 如 表 10-1 所 示 。 
表 10-1 交换 机 支持 的 以 太 网 协议 


标准 说 了 明 规 范 
IEEE 802.3i 以 太 网 10Base-T 规范 两 对 UTP，RJ-45 连接 器 ， 传 输 距离 为 100m 
100Base-TX: 两 对 5 类 UTP， 支 持 10Mbps、100Mbps 自 
Ns i 动 协商 。 
IEEE 802.3u | 快速 以 太 网 物理 层 规范 | 100Base-T4; 4 对 3 类 UIP。 
100Base-FX: 光纤 
ee i 1000Base-SX: 短波 SMF。 
IEEE 802.3z 于 光 以 太 网 物理 层 规范 | 1000Base_LX。 长 波 SMF 或 MMF 
IEEE 802.3ab ee 后 光 以 太 网 物理 层 | | 000Base_Tx 
IEEE 802 3ad Link Aggregation Control | 链 路 汇聚 技术 可 以 将 多 个 链 路 绑 定 在 一 起 , 形成 一 条 高 速 
Protocol (LACP) 链 路 ， 以 达到 更 高 的 带宽 ， 并 实现 链 路 备份 和 负载 均衡 
10GBase-SR 和 10GBase-SW 支持 短波 〈850 nm) 多 模 光 
纤 (MMF) ， 传 输 距离 为 2 一 300m。 
只 10GBase-LR 和 10GBase-LW 支持 长 波 (1 310nm) 单 模 光 
IEEE 802.3ae | 万 兆 以 太 网 物理 层 规范 纤 (SMF)， 传 输 距离 为 2m~ 10km。 
10GBase-ER 和 10GBase-EW 支持 超 长 波 (1 550nm) 单 模 
光纤 (SMF) ， 传 输 距离 为 2m 一 40km 
IEEE8023af | Oo oer Mem! 以 太 网 供电 ， 通 过 双 绞 线 为 以 太 网 提供 48V 的 直流 电源 
Fl c 和 为 交换 机 提供 全 双 工 流 控 (full-duplex flow control) 和 后 
IEEE 802.3x 人 压 式 半 双 工 流 控 (back pressure half-duplex flow control) 


Pressure 


机 制 
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续 表 
标 准 说 明 规 范 
IEEE 8021d | Spanning Tree Protocol 利用 生成 树 算法 消除 以 太 网 中 的 循环 路 径 , 当 网 络 发 生 故 
(STP) 障 时 重新 协商 生成 树 ， 并 起 到 链 路 备份 的 作用 
也 定义 了 以 太 网 MAC 帧 的 VLAN 标记 。 标 记分 两 部 分 : 
IEEE 802.1q | VLAN 标记 VLAN ID (12 位 ) 和 优先 级 (3 位 ) 
定义 了 交换 机 对 MAC 帧 进行 优先 级 分 类 ， 并 对 组 播 帧 进 
IEEE 802.lp | LAN 第 二 层 QoS/CoS 协议 | 行 过 滤 的 机 制 ,可 以 根据 优先 级 提供 尽力 而 为 (bestreffort) 
的 服务 质量 ， 是 IEEE 802.1q 的 扩充 协议 
At wy 提供 了 交换 设备 之 间 注 册 属 性 的 通用 机 制 。 属性 信息 ( 例 
ye 人 如 VLAN 标识 符 ) 在 星 个 局 域 网 设备 中 传播 开 来， 并 且 
RSS 由 相关 设备 形成 一 个 可 达 性 ? 子 集 .GARP 是 IEEE 802.1p 
的 扩充 部 分 
Sa GVRP 是 GARP 的 应 用 ,提供 与 802.1q 兼容 的 VLAN 裁 
Ee OA 前 (VLAN pruning) 功能 ,以 及 在 802.1q 干线 端口 (trunk 
"ok port) 建立 动态 VLAN 的 机 制 。GVRP 定义 在 IEEE 
Registration Protocol) 802.1p 中 
GARP 组 播 注册 协议 为 交换 机 提供 了 根据 组 播 成 员 的 动态 信息 进行 组 播 树 修 
GMRP (GARP Multicast 前 的 功能 ， 使 得 交换 机 可 以 动态 地 管理 组 播 过 程 。GMRP 
Registration Protocol) 定义 在 IEEE 802.1p 中 
IEEE 802.1s | Multiple Spanning 这 是 802.1q 的 补充 协议 ， 为 交换 机 增加 了 通过 多 重生 成 
Tree Protocol (MSTP) 树 进行 VLAN 通信 的 机 制 
i 基于 协议 和 端口 的 这 是 802.1q 的 补充 协议 ， 定 义 了 基于 数据 链 路 层 协议 进 
g VLAN 划分 行 VLAN 划分 的 机 制 
IEEE 802.1x ”| 用 户 认 证 在 局 域 网 中 实现 基于 端口 的 访问 控制 
Rapid Spanning Tree 当局 域 网 中 由 于 交换 机 或 其 他 网 络 元 素 失效 而 发 生 拓扑 
IEEE 802.1w | Protocol (RSTP) 结构 改变 时 ，RSTP 可 以 快速 地 重新 配置 生成 树 ， 恢 复 网 
络 的 连接 。RSTP 对 802.1d 是 向 后 兼容 的 


10.1.2 路 由 器 基础 


1. 路 由 器 的 分 类 


从 功能 、 性 能 和 应 用 方面 划分 ， 路 由 器 可 分 为 以 下 几 种 。 

(1) 骨干 路 由 器 。 骨 干 路 由 器 是 实现 主干 网 络 互 连 的 关键 设备 ， 通 常 采用 模块 化 结构 ， 通 
过 热 备份 、 双 电源 和 双 数 据 通路 等 元 余 技 术 提 高 可 靠 性 ， 并 且 采 用 缓存 技术 和 专用 集成 电路 
(CASIC) 加 快 路 由 表 的 查找 ,使 得 背 板 交换 能 力 达 到 几 百 个 “Gbps” 被 称 为 线 速 路由器。 例如 ， 
华为 的 NE40E 系列 以 上 路 由 器 就 属于 骨干 路 由 器 。 

(2) 企业 级 路 由 器 。 企 业 级 路 由 器 连接 许多 终端 系统 ， 提 供 通 信 分 类 、 优 先 级 控制 、 用 户 
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认证 、 多 协议 路 由 和 快速 自 愈 等 功能 , 可 以 实现 数据 、 语音、 视频 、 网 络 管理 和 安全 应 用 (VPN、 
入 侵 检测 和 URL 过 滤 等 ) 等 增值 服务 ， 对 这 类 路 由 器 的 要 求 是 实现 高 密度 的 LAN 端口 ， 同 时 
支持 多 种 业务 。 

(3) 接 入 级 路 由 器 。 接 入 级 路 由 器 也 叫 边 缘 路 由 器 ， 主 要 用 于 连接 小 型 企业 的 客户 群 ， 提 
供 1 到 2 个 广域网 端口 卡 (WIC), 实现 简单 的 信息 传输 功能 , 一 般 采 用 低档 路 由 器 就 可 以 了 ( 华 
为 AR3600 以 下 型 号 )。 


2. 路 由 器 的 端口 


路 由 器 不 仅 能 实现 局 域 网 之 间 的 连接 ， 还 能 实现 局 域 网 与 广域网 、 广 域 网 与 广域网 之 间 的 
相互 连接 。 路 由 器 与 广域网 连接 的 端口 称 为 WAN 端口 ， 路 由 器 与 局 域 网 连接 的 端口 称 为 LAN 
端口 。 常 见 的 网 络 端口 有 以 下 几 种 。 

(1) RJ-45 端口 。 这 种 端口 通过 双 绞 线 连接 以 太 网 。10Base-T 的 RJ-45 端口 标识 为 ETH， 
100Base-TX 的 RJ-45 端口 标识 为 10/100 b TX, 这 是 因为 快速 以 太 网 路 由 器 采用 10/100Mbps 自 
适应 电路 ， 如 图 10-8 所 示 。 


10/100b TX 


图 10-8 ”RJ-45 端口 


(2) AUI 端口 。AUI 端口 是 一 种 D 型 15 针 连 接 器 ， 用 在 令 牌 环 网 或 总 线 型 以 太 网 中 。 路 
由 器 经 AUI 端口 通过 粗 同 轴 电 缆 收 发 器 连接 10Base-5 网 络 ， 也 可 以 通过 外 接 的 AUI-to-RJ-45 
适配器 连接 10Base-T 以 太 网 ， 还 可 以 借助 其 他 类 型 的 适配器 实现 与 10Base-2 细 同 轴 电 缆 或 
10Base-F 光缆 的 连接 。AUI 端口 如 图 10-9 所 示 。 

(3) 高 速 同步 串口 。 在 路 由 器 与 广域网 的 连接 中 ， 应 用 最 多 的 是 高 速 同 步 串 行 口 
(Synchronous Serial Port)， 这 种 端口 用 于 连接 DDN、 帧 中 继 、X.25 和 PSTN 等 网 络 。 通 过 这 种 
端口 所 连接 的 网 络 两 端 要 求 同 步 通 信 ， 以 很 高 的 速率 进行 数据 传输 。 高 速 同步 串 行 口 如 图 10-9 
所 示 。 
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以 太 网 AUI 高 速 同步 串口 ”ISDN BRI 口 系统 工作 
口 指示 灯 指示 灯 指示 灯 


以 太 网 CE 
AUJ 端口 高 速 同步 申 吕 {RJ-45) 


(DB-15) OB-60) ISDN Auxiliary 端口 


BRI 端 (RJ-45) 
《CRJ-45) 


图 10-9 路 由 器 背 板 示意 图 


(4) ISDN BRI 端口 。ISDN BRI 端口 通过 ISDN 线路 实现 路 由 器 与 Internet 或 其 他 网 络 的 
远程 连接 , 如 图 10-9 所 示 。 ISDN BRI 的 3 个 通道 (2B+D ) 的 总 带宽 为 144kbps, 端口 采用 RJ-45 
标准 ， 与 ISDN NT1 的 连接 使 用 RT-45-to-RJ-45 直通 线 。 

(5) 异步 串口 。 异 步 串口 (ASYNC) 主要 应 用 于 与 Modem 或 Modem 池 的 连接 ， 以 实现 
远程 计算 机 通过 PSTN 拨号 接 入 。 异 步 端口 的 速率 不 是 很 高 ， 也 不 要 求 同 步 传输 ， 只 要 求 能 连 
续 通信 。 如 图 10-10 所 示 为 异步 串口 。 


OOoOOOS OSSSOO OOEOEO 


图 10-10 异步 串口 


(6) Console 端口 。Console 端口 通过 配置 专用 电线 连接 至 计算 机 串 行 口 ， 利 用 终端 仿真 程 
序 (如 Hyper Terminal) 对 路 由 器 进行 本 地 配置 。 路 由 器 的 Console 端口 为 RT-45 口 (如 图 10-9 
所 示 )。Console 端口 不 支持 硬件 流 控 。 

(7) AUX 端口 。 对 路 由 器 进行 远程 配置 时 要 使 用 AUX 端口 (Auxiliary Prot)， 如 图 10-9 
所 示 。AUX 端口 在 外 观 上 与 RT-45 端口 一 样 ， 只 是 内 部 电路 不 同 ， 实 现 的 功能 也 不 一 样 。 通 过 
AUX 端口 与 Modem 进行 连接 必须 借助 RJ-45 to DB9 或 RT-45 to DB25 适配器 进行 电路 转换 。 
AUX 端口 支持 硬件 流 控 。 


Es 
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3. 路 由 器 的 操作 系统 


路 由 器 都 有 一 个 操作 系统 ， 各 个 厂家 的 路 由 器 操作 系统 不 尽 相 同 ， 但 基本 的 工作 原理 都 是 
相近 似 的 。 例 如 ， 华 为 路 由 器 、 交 换 机 等 数据 网 络 产品 采用 的 是 通用 路 由 平台 VRP (Versatile 
Routing Platform)， 常 用 的 VRP 有 VRP5 和 VRP8 两 个 版 本 。VRP5 是 目前 大 多 数 华为 设备 使 
用 的 组 件 化 设计 、 高 可 靠 性 网 络 操作 系统 ， 而 VRP8 支持 分 布 式 应 用 和 虚拟 化 技术 ， 可 以 适应 
企业 快速 扩展 的 业务 需求 。 

IOS 软件 系统 包括 “BootROM 软件 ”和 “系统 软件 ”两 部 分 ， 是 路 由 器 、 交 换 机 等 设备 启 
动 、 运 行 的 必要 软件 ， 为 网 络 设备 提供 支撑 、 管 理 、 业 务 等 功能 。 网 络 设备 加 电 后 ， 首 先 运行 
BootROM 软件 ， 初 始 化 硬件 并 显示 的 硬件 参数 信息 ， 然 后 再 运行 系统 软件 。 系 统 软件 一 方面 
提供 对 硬件 的 驱动 和 适 配 功能 ， 另 一 方面 实现 了 业务 功能 特性 。 

路 由 器 或 交换 机 的 操作 是 由 配置 文件 (configuration file 或 config) 控制 的 。 配 置 文件 包含 
有 关 设备 如 何 操作 的 指令 ， 是 由 网 络 管理 员 创建 的 ， 一 般 有 几 百 到 几 千 个 字 节 大 小 。 

IOS 命令 在 所 有 路 由 器 产品 中 都 是 通用 的 。 这 意味 着 只 要 掌握 一 个 操作 界面 就 可 以 了 ， 即 
命令 行 界面 (Command Line Interface，CLI)。 所 以 无 论 是 通过 控制 台 端口 , 或 通过 一 部 Modem， 
还 是 通过 Telnet 连接 来 配置 路 由 器 ， 用 户 看 到 的 命令 行 界面 都 是 相同 的 。 

IOS 有 3 种 命令 级 别 ， 即 用 户 视 图 、 系 统 视图 和 具体 业务 视图 。 在 不 同 的 视图 中 可 执行 的 
命令 集 不 同 ， 可 实现 的 管理 功能 也 不 同 ， 详 见 下 面 的 解释 。 


10.1.3 ”访问 路 由 器 和 交换 机 


如 果 要 对 网 络 互 连 设备 进行 具体 的 配置 ， 首 先 要 有 效 地 访问 它们 ， 一般 来 说 可 以 用 以 下 几 
种 方法 访问 路 由 器 或 交换 机 。 

(1) 通过 设备 的 Console (控制 台 ) 端口 接 终端 或 运行 终端 仿真 软件 的 计算 机 。 

(2) 通过 设备 的 AUX 端口 接 Modem， 通 过 电话 线 与 远方 的 终端 或 运行 终端 仿真 软件 的 计 
算 机 相连 。 

(3) 通过 Telnet 程序 访问 。 

(4) 通过 浏览 器 访问 。 

(5) 通过 网 管 软件 访问 。 

下 面 以 路 由 器 为 例 给 出 几 种 访问 网 络 互 连 设备 方法 的 连接 图 ， 如 图 10-11 所 示 。 

对 网 络 互 连 设备 的 第 一 次 设置 必须 通过 第 一 种 方法 来 实现 ， 并 且 第 一 种 方法 也 是 最 常用 、 
最 直接 有 效 的 配置 方法 。Console 端口 是 路 由 器 和 交换 机 设备 的 基本 端口 ， 它 是 对 一 台新 的 路 
由 器 和 交换 机 进行 配置 时 必须 使 用 的 接口 。 连 接 Console 端口 的 线 缆 称 为 控制 台电 缆 〔〈Console 
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Cable)。 在 具体 的 连接 上 ，Console 电缆 一 端 插入 网 络 设 备 的 Console 端口 ， 另 一 端 接 入 终端 或 
PC 的 串 行 接口 ， 从 而 实现 对 设备 的 访问 和 控制 。 


Web Server Telnet 网 管 工作 站 


局 -| Console i 


终端 /仿真 终端 路 由 器 Modem ”终端 /仿真 终端 


图 10-11 访问 路 由 器 的 几 种 方法 


10.2 ”交换 机 的 配置 


不 同 厂家 生产 的 不 同型 号 的 交换 机 ， 其 具体 的 配置 命令 和 方法 是 有 差别 的 ， 不 过 配置 的 原 
理 基 本 上 是 相同 的 。 本 节 以 华为 S5700 系列 交换 机 为 例 讲解 配置 交换 机 的 基本 方法 。 


10.2.1 ”交换 机 概述 


交换 机 是 一 种 具有 简化 、 低 价 、 高 性 能 和 高 端口 密度 特点 的 交换 产品 。 交 换 机 根据 OSI 层 
次 通常 可 分 为 第 二 层 交 换 机 和 多 层 交 换 机 。 通 常 所 说 的 交换 机 就 是 指 第 二 层 交 换 机 ， 也 叫 LAN 
交换 机 ， 连 接 方式 如 图 10-12 所 示 。 与 网 桥 一 样 ，LAN 交换 机 按 每 一 个 帧 中 的 MAC 地 址 相对 
简单 地 来 决策 信息 如 何 转发 ， 而 这 种 转发 决策 一 般 不 考虑 帧 中 隐藏 的 更 深 的 其 他 信息 。 与 网 桥 
不 同 的 是 ， 交 换 机 转发 延迟 很 小 ， 操 作 接 近 单个 局 域 网 性 能 ， 远 远 超过 了 使 用 普通 网 桥 互 连 的 
网 络 之 间 的 转发 性 能 。 

多 层 交 换 机 与 第 二 层 交换 机 工作 方式 类 似 。 除 了 使 用 第 二 层 MAC 地 址 进行 交换 以 外 ， 多 
层 交 换 机 还 使 用 第 三 层 网 络 地 址 。 传 统 上 ， 第 三 层 的 功能 只 发 生 在 路 由 器 中 ， 路 由 器 依赖 软件 
执行 路 由 选择 功能 实现 对 数据 的 存储 和 转发 。 随 着 硬件 技术 的 发 展 ， 改 良 的 硬件 已 经 允许 很 多 
第 三 层 路 由 选择 功能 出 现在 硬件 中 ， 进 而 出 现 了 多 层 交 换 机 。 同 时 ， 多 层 交 换 机 也 可 以 检查 第 
四 层 信 息 ， 包 括 帮助 识别 应 用 程序 类 型 的 TCP 报头 。 
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图 10-12 LAN 交换 机 


交换 技术 允许 共享 型 和 专用 型 的 局 域 网 段 进 行 带宽 调整 ， 以 减轻 局 域 网 之 间 信 息 流 通 出 现 
的 瓶颈 问题 。 现 在 已 有 以 太 网 、 快 速 以 太 网 、FDDI 和 ATM 技术 的 交换 产品 。 与 传统 的 网 桥 类 
似 ， 交 换 机 也 提供 了 许多 网 络 互联 功能 。 交 换 机 能 经 济 地 将 网 络 分 成 小 的 冲突 网 域 ， 为 每 个 工 
作 站 提供 更 高 的 带宽 。 协 议 的 透明 性 使 得 交换 机 在 软件 配置 简单 的 情况 下 可 以 直接 使 用 在 多 协 
议 网 络 中 ， 交 换 机 使 用 现 有 的 电缆 、 中 继 器 、 集 线 器 和 工作 站 的 网 卡 ， 而 不 必 升 级 高 层 硬件 ; 
对 工作 站 来 说 ， 交 换 机 是 透明 的 ， 这 样 可 降低 管理 开销 ， 简 化 因 增 加 、 移 动 网 络 节点 所 导致 的 
网 络 设置 操作 。 


10.2.2 ”交换 机 的 基本 配置 


1. 电缆 连接 及 终端 配置 


如 图 10-13 所 示 ， 接 好 PC 机 和 交换 机 各 自 的 电源 线 ， 在 关机 状态 下 ， 把 PC 机 的 串口 1 
(COM1) 通过 控制 台电 绕 与 交换 机 的 Console 端口 相连 ， 即 完成 设备 的 连接 工作 。 


交换 机 


PC 


图 10-13 仿真 终端 与 交换 机 的 连接 
交换 机 Console 端口 的 默认 参数 如 下 。 
。 ”端口 速率 ; 9600bps。 
。 ”数据 位 ，8。 
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。 ”奇偶 校 验 : 无 。 

. 停止 位 : 1。 

。 流 控 : 无 。 

在 配置 PC 机 的 超级 终端 时 只 需 保 证 端口 属性 的 配置 参数 与 上 述 参 数 相 匹 配 即 可 。 以 
Windows 环境 下 的 Hyper Terminal 为 例 配 置 COMI1 端口 属性 的 对 话 框 ， 如 图 10-14 所 示 。 


图 10-14 ”仿真 终端 端口 参数 配置 


2. 交换 机 的 启动 
在 配置 好 终端 仿真 软件 后 ， 终 端 窗口 就 会 显示 交换 机 的 启动 信息 ， 显 示 交 换 机 的 版 权 信息 
和 软件 加 载 过 程 ， 直 到 出 现 提示 用 户 设置 登录 密码 。 


BIOS loading ... 


Enter Password: 
Confirm Password 
<HUAWEL> 


完成 Console 登录 密码 设置 后 ， 用 户 便 可 以 配置 和 使 用 交换 机 。 
3， 交换 机 的 基本 配置 


在 默认 配置 下 ， 所 有 接口 处 于 可 用 状态 ， 并 且 都 属于 VLAN 1， 这 种 情况 下 交换 机 就 可 以 
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正常 工作 了 。 但 为 了 方便 管理 和 使 用 ， 首 先 应 对 交换 机 做 基本 的 配置 。 
(1) 配置 交换 机 的 设备 名 称 、 管理 VLAN 和 TELNET, 在 对 网 络 中 交换 机 进行 管理 时 需要 


对 交换 机 进行 基本 配置 。 
<HUAWEI> // 用 户 视图 提示 符 
<HUAWEI>system-view /进入 系统 视图 
[HUAWEI]sysname Switchl /修改 设备 名 称 为 SW1 
[Switch1] vlan 5 /创建 交换 机 管理 VLAN 5 


[Switch1-VLAN5] management-vlan 
[Switchl-VLANS] quit 


[Switch1] interface vlanif 5 // 创 建交 换 机 管理 VLAN 的 VLANIF 接口 
[Switchl-vlanif5] ip address 10.10.1.1 24 /配置 VLANIF 接口 卫 地址 
[Switchl-vlanif5] quit 

[Switch1] telnet server enable //Telnet 默认 是 关闭 的 ， 需 要 打开 
[Switch1] user-interface vty 0 4 /开启 VTY 线路 模式 

[Switchl-ui-vty0-4] protocol inbound telnet /配置 telnet 协议 

[Switchl-ui-vty0-4] authentication-mode aaa /配置 认证 方式 

[Switchl-ui-vty0-4] quit 

[Switch1] aaa 


[Switch1-aaa] local-user admin password irreversible-cipher Hello@123 
/配置 用 户 名 和 密码 ， 用 户 名 不 区 分 大 小 写 ， 密 码 区 分 大 小 写 


[Switch1-aaa] local-user admin privilege level 15 // 将 管理 员 的 账号 权限 设置 为 15 (最高) 
[Switchl-aaalquit 

[Switch1]quit 

< Switchl>save /在 用 户 视图 下 保存 配置 


(2) 登录 Telnet 到 交换 机 ， 出 现 用 户 视图 提示 符 。 


C:\Documents and Settings\Administrator> telnet 10.10.1.1 

/输入 交换 机 管理 下 
Login authentication 
Username:admin // 输 入 用 户 名 和 密码 
Password: 
Info: The max number of VTY users is 5, and the number 

of current VTY users on line is 1. 

The current login time ls 2016-07-03 13:33:18+00:00. 

< Switch1> 1/ 用户 视图 命令 行 提示 符 
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(3) 配置 交换 机 的 接口 。 交 换 机 的 接口 属性 默认 支持 一 般 网 络 环境 ， 一 般 情况 下 是 不 需要 
对 其 接口 进行 设置 的 。 在 某 些 情况 下 需要 对 其 端口 属性 进行 配置 时 ， 配 置 的 对 象 主要 有 接口 隔 
离 、 速 率 、 双 工 等 信息 。 

# 配 置 接口 GE1/0/1 和 GE1/0/2 的 端口 隔离 功能 ， 实 现 两 个 接口 之 间 的 二 层 数据 隔离 ， 三 层 数据 互通 


< Switch1> system-view 

[Switch1] port-isolate mode 12 

[Switch1] interface gigabitethernet 1/0/1 
[Switchl-GigabitEthernet1/0/1] port-isolate enable group 1 
[Switchl-GigabitEthernet1/0/1] quit 

[Switch1] interface gigabitethernet 1/0/2 
[Switchl-GigabitEthernet1/0/2] port-isolate enable group 1 
[Switch1-GigabitEthernetl1/0/2] quit 


# 配 置 以 太 网 接口 GE0/0/1 在 自 协商 模式 下 协商 速率 为 100Mb/s 
< Switch1> system-view 

[Switch1] interface gigabitethernet 0/0/1 
[Switchl-GigabitEthernet0/0/1] negotiation auto 
[Switchl-GigabitEthernet0/0/1] auto speed 100 


# 配 置 以 太 网 电 接口 GE0/0/1 在 白 协商 模式 下 双 工 模式 为 全 双 工 模式 
< Switch1> system-view 

[Switch1] interface gigabitethernet 0/0/1 

[Switchl-GigabitEthernet0/0/1] negotiation auto 


(4) 查看 和 配置 MAC 地 址 表 。 交 换 机 通过 学 习 网 络 中 设备 的 MAC 地 址 ， 并 将 学 习 得 到 
的 MAC 地 址 存放 在 交换 机 的 缓存 中 。 在 需要 向 目标 地 址 发 送 数据 时 就 从 MAC 表 地 址 中 查找 
相应 地 址 ， 找 到 后 才 可 以 向 目标 快速 发 送 数据 。 

MAC 表 由 多 条 MAC 地 址 表 项 组 成 。MAC 地 址 表 项 由 MAC、VLAN 和 端口 组 成 ， 交 换 
机 在 收 到 数据 帧 时 , 会 解析 出 数据 帧 的 源 MAC 地 址 和 VLAN ID 并 与 接收 数据 帧 的 端口 组 合成 
一 条 数据 表 项 。MAC 地 址 表 项 的 查看 可 以 了 解 交换 机 运行 的 状态 信息 ， 排 查 故障 。 

# 执 行 命 令 display mac-address， 查 看 所 有 的 MAC 地 址 表 项 

< Switchl> display mac-address 


MAC Address VLAN/VSI Learned-From Type 
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00e0-0900-7890 10/- - blackhole 
00e0-0230-1234 20/- GE1/0/1 static 
0001-0002-0003 30/- Eth-Trunkl dynamic 


Total items displayed = 3 


# 执 行 命令 display interface vlanif 5， 显 示 VLANIF 接口 的 MAC 地 址 
< Switchl> display interface vlanif 5 
VlanifsS current state : DOWN 
Line protocol current state : DOWN 
Description: 
Route Port,The Maximum Transmit Unit is 1500 
Internet Address is 192.168.1.1/24 
JP Sending Frames' Format is PKTFMT_ ETHNT 2, Hardware address is 00e0-0987-7891 
Current system time: 2016-07-03 13:33:09+08:00 
Input bandwidth utilization =: -- 
Output bandwidth utilization : -- 


# 在 MAC 地 址 表 中 增加 静态 MAC 地 址 表 项 ， 目 的 MAC 地 址 为 0001-0002-0003，VLAN 5 的 报 文 ， 


从 接口 gigabitethemet0/0/5 转发 出 去 
[Switch1] mac-address static 0001-0002-0003 gigabitethernet 0/0/5 vlan 5 


10.2.3 ”配置 和 管理 VLAN 


VLAN 技术 是 交换 技术 的 重要 组 成 部 分 , 也 是 交换 机 配置 的 基础 。 它 用 于 把 物理 上 直接 相 
连 的 网 络 从 逻辑 上 划分 为 多 个 子 网 。 每 一 个 VLAN 对 应 着 一 个 广播 域 ， 处 于 不 同 VLAN 上 的 
主机 不 能 进行 通信 , 不 同 VLAN 之 间 的 通信 要 引入 第 三 层 交 换 技 术 才 可 以 解决 。 对 虚拟 局 域 网 
的 配置 和 管理 主要 涉及 链 路 和 接口 类 型 、GARP 协议 和 VLAN 的 配置 。 

链 路 和 接口 类 型 ， 为 了 适应 不 同 网 络 环境 的 组 网 需要 ， 链 路 类 型 分 为 接 入 链 路 〈Access 
Link) 和 干道 链 路 〈Trunk Link) 两 种 链 路 类 型 。 接 入 链 路 只 能 承载 1 个 VLAN 的 数据 帧 ， 用 
于 连接 交换 机 和 用 户 终端 ; 干道 链 路 能 承载 多 个 不 同 VLAN 的 数据 帧 ,用 于 交换 机 间 互 连 或 连 
接 交 换 机 与 路 由 器 。 根 据 接口 连接 对 象 以 及 对 收发 数据 帧 处 理 的 不 同 ， 以 太 网 接口 分 为 Access 
接口 、Trunk 接口 、Hybrid 接口 和 QinQ 接口 四 种 接口 类 型 ， 分 别 用 于 连接 终端 用 户 、 交 换 机 
与 路 由 器 以 及 公 网 与 私 网 的 互联 等 。 

GARP 协议 主要 用 于 建立 一 种 属性 传递 扩散 的 机 制 , 以 保证 协议 实体 能 够 注册 和 注销 该 属 
性 。 简 单 说 就 是 为 了 简化 网 络 中 配置 VLAN 的 操作 ， 通 过 GVRP 的 VLAN 自动 注册 功能 将 设 
备 上 的 VLAN 信息 快速 复制 到 整个 交换 网 ， 达 到 减少 手工 配置 量 及 保证 VLAN 配置 正确 的 
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目的 。 
交换 机 的 初始 状态 是 工作 在 透明 模式 ， 有 一 个 默认 的 VLAN1， 所 有 端口 都 属于 VLAN1。 


1. 划分 VLAN 的 方法 


虚拟 局 域 网 是 交换 机 的 重要 功能 , 通常 虚拟 局 域 网 的 实现 形式 有 多 种 , 分 别 是 基于 接口 ` MAC 
地 址 、 子 网 、 网 络 层 协议 、 匹 配 策略 方式 来 划分 VLAN。 

通过 接口 来 划分 VLAN。 交 换 机 的 每 个 接口 配置 不 同 的 PVID， 当 数据 帧 进入 交换 机 时 没有 带 
VLAN 标签 ， 该 数据 帧 就 会 被 打上 接口 指定 PVID 的 Tag 并 在 指定 PVID 中 传输 。 

通过 源 MAC 地 址 来 划分 VLAN。 建 立 MAC 地 址 和 VLAN ID 映射 关系 表 ， 当 交换 机 收 到 的 
是 Untagged 帧 时 ， 就 依据 该 表 给 数据 帧 添加 指定 VLAN 的 Tag 并 在 指定 VLAN 中 传输 。 

通过 子 网 划分 VLAN。 建立 他 地 址 和 VLAN ID 映射 关系 表 , 当 交 换 机 收 到 的 是 Untagged 帧 ， 
就 依据 该 表 给 数据 帧 添加 指定 VLAN 的 Tag 并 在 指定 VLAN 中 传输 。 

通过 网 络 层 协议 划分 VLAN。 建 立 以 太 网 帧 中 的 协议 域 和 VLAN ID 的 映射 关系 表 ， 当 收 到 的 
是 Untagged 帧 ， 就 依据 该 表 给 数据 帧 添加 指定 VLAN 的 Tag 并 在 指定 VLAN 中 传输 。 

通过 策略 匹配 划分 VLAN， 实 现 多 种 组 合 的 划分 ， 包括 接口 、MAC 地 址 、 耳 地 址 等 。 建 立 配 
置 策略 ， 当 收 到 的 是 Untagged 帧 ， 且 匹配 配置 的 策略 时 ， 给 数据 帧 添加 指定 VLAN 的 Tag 并 在 指 
定 VLAN 中 传输 。 


2. 配置 VLAN 举例 


在 网 络 中 ， 用 于 终端 与 交换 机 、 交 换 机 与 交换 机 、 交 换 机 与 路 由 器 连接 时 VLAN 的 划分 方式 
多 种 多 样 ， 需 要 灵活 运用 。 这 里 就 接 入 层 交 换 机 的 VLAN 划分 举例 说 明 。 


# 基 于 接口 划分 VLAN 


<HUAWEI> system-view /进入 交换 机 系统 视图 
[HUAWEI] sysname SwitchA 1/ 交换 机 命名 

[SwitchA] vlan batch 2 1/ 批量 方式 建立 VLAN 2 
[SwitchA] interface gigabitethernet 0/0/1 1/ 进 入 交换 机 接口 视图 
[SwitchA-GigabitEthernet0/0/1] port link-type access /配置 接口 类 型 
[SwitchA-GigabitEthernet0/0/1] port default vlan 2 // 将 接口 加 入 VLAN 2 
[SwitchA-GigabitEthernet0/0/1] quit 

[SwitchA] interface gigabitethernet 0/0/2 /在 接口 视图 配置 上 联接 口 
[SwitchA-GigabitEthernet0/0/2] port link-type trunk /配置 上 联接 口 类 型 


[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 2 /通过 VLAN2 
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[SwitchA-GigabitEthernet0/0/2] quit 


# 基 于 MAC 地 址 划分 VLAN 


<HUAWEI> system-view 

[HUAWEI] sysname SwitchA 

[SwitchA] vlan batch 2 

[SwitchA] interface gigabitethernet 0/0/1 /在 接口 视图 配置 上 联接 口 
[SwitchA-GigabitEthernet0/0/1] port link-type hybrid // 配 置 上 联接 口 类 型 


[SwitchA-GigabitEthernet0/0/1] port hybrid tagged vlan 2 // 通 过 VLAN2 
[SwitchA-GigabitEthernet0/0/1] quit 

[SwitchA] interface gigabitethernet 0/0/2 /进入 交换 机 接口 视图 
[SwitchA-GigabitEthermet0/0/2] port link-type hybrid /配置 接口 类 型 
[SwitchA-GigabitEthermet0/0/2] port hybrid untagged vlan 2 。 // 将 接口 加 入 VLAN2 
[SwitchA-GigabitEthernet0/0/2] quit 


[SwitchA] vlan 2 

[SwitchA-vlan2] mac-vlan mac-address 22-22-22 /PC 的 MAC 地 址 与 VLAN2 关联 
[SwitchA-vlan2] quit 

[SwitchA] interface gigabitethernet 0/0/2 

[SwitchA-GigabitEthernet0/0/2] mac-vlan enable // 基 于 MAC 地 址 启用 接口 


[SwitchA-GigabitEthernet0/0/2] quit 

3. 配置 GARP 协议 

GARP (Generic Attribute Registration Protocol) 是 通用 属性 注册 协议 的 应 用 ， 提 供 
802.1Q 兼 容 的 VLAN 裁 前 VLAN pruning 功能 和 在 802.1Q 干线 端口 trunk port 上 建立 动态 
VLAN 的 功能 。GARP 配置 拓扑 如 图 10-15 所 示 ， 在 交换 机 A、B 分 别 配置 全 局 启用 GARP 功 
能 ， 达 到 所 有 子 网 设备 互 访 的 目的 。 


图 10-15 VLAN 拓扑 结构 图 


交换 机 A 的 配置 如 下 ， 交 换 机 B 和 交换 机 A 的 配置 相似 。 


# 配 置 交换 机 A， 全 局 启用 GARP 功能 
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<HUAWEI> system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] garp 


# 配 置 接口 为 Trunk 类 型 ， 并 允许 所 有 VLAN 通过 
[SwitchA] interface gigabitethernet 0/0/1 
[SwitchA-GigabitEthernet0/0/1] port link-type trunk 
[SwitchA-GigabitEthemet0/0/1] port trunk allow-pass vlan all 
[SwitchA-GigabitEthernet0/0/1] quit 

[SwitchA] interface gigabitethernet 0/0/2 
[SwitchA-GigabitEthernet0/0/2] port link-type trunk 
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan all 
[SwitchA-GigabitEthernet0/0/2] quit 


# 启 用 接口 的 GARP 功能 ， 并 配置 接口 注册 模式 
[SwitchA] interface gigabitethernet 0/0/1 
[SwitchA-GigabitEthernet0/0/1] garp 
[SwitchA-GigabitEthernet0/0/1] garp registration normal 
[SwitchA-GigabitEthernet0/0/1] quit 

[SwitchA] interface gigabitethernet 0/0/2 
[SwitchA-GigabitEthernet0/0/2] garp 
[SwitchA-GigabitEthernet0/0/2] garp registration normal 
[SwitchA-GigabitEthernet0/0/2] quit 


配置 完成 后 ， 在 SwitchA 上 使 用 命令 display garp statistics， 查 看 接口 的 GARP 统计 信息 ， 
其 中 包括 GARP 状态 .GARP 注册 失败 次 数 、 上 一 个 GARP 数据 单元 源 MAC 地 址 和 接口 GARP 
注册 类 型 。 


[SwitchA] display garp statistics 
GARP statistics on port GigabitEthernet0/0/1 


GARP status : Enabled 

GARP registrations failed :0 

GARP last PDU origin : 0000-0000-0000 
GARP registration type : Normal 


GARP statistics on port GigabitEthernet0/0/2 
GARP status : Enabled 
GARP registrations failed :0 
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GARP last PDU origin : 0000-0000-0000 
GARP registration type : Normal 
Info: GARP is disabled on one or multiple ports. 


10.2.4 ”生成 树 协议 的 配置 


生成 树 协议 是 交换 式 以 太 网 中 的 重要 概念 和 技术 ， 该 协议 的 目的 是 实现 交换 机 之 间 宛 余 连 
接 的 同时 避免 网 络 环 路 的 出 现 ， 实 现 网 络 的 高 可 用 性 。 生 成 树 协议 通过 阻 断 相应 端口 来 消除 网 
络 环 路 。 它 在 交换 机 之 间 传 递 BPDU (Bridge Protocol Data Unit， 桥 接 协 议 数据 单元 )， 互 相 告 
知 诸如 交换 机 的 桥 一 、 链 路 开销 和 根 桥 ID 等 信息 ， 以 确定 根 桥 ， 从 而 决定 将 哪些 端口 置 于 转 
发 状态 ， 将 哪些 端口 置 于 阻 断 状态 ， 用 于 消除 环 路 。 

在 网 络 规划 中 出 于 宛 余 备份 的 需要 ， 在 设备 之 间 部 署 多 条 链 路 时 ， 可 以 在 网 络 中 部 署 STP 
协议 预防 环 路 ， 避 免 广 播 风暴 和 MAC 表 项 被 破坏 。 配 置 STP 如 图 10-16 所 示 。 当 前 网 络 中 设 
备 都 运行 STP， 通 过 相互 的 信息 交换 发 现 网 络 中 存在 的 环 路 ， 有 选择 的 对 某 个 端口 进行 堵塞 ， 
将 环形 网 络 结构 修剪 成 无 环 路 的 树 形 网 络 结构 ， 从 而 避免 网 络 环 路 造成 的 故障 。 


图 10-16 STP 组 网 图 


(1) 配置 STP 基本 功能 。 
配置 环 网 中 的 设备 生成 树 协议 工作 在 STP 模式 。 


# 配 置 SwitchA 的 STP 工作 模式 ，SwitchB、SwitchC、SwitchD 的 配置 相同 
<HUAWEL> system-view 

[HUAWEI] sysname SwitchA 

[SwitchA] stp mode stp 
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配置 根 桥 和 备份 根 桥 设 备 
# 配 置 SwitchA 为 根 桥 
[SwitchA] stp root primary 


# 配 置 SwitchB 为 备份 根 桥 
[SwitchB] stp root secondary 


配置 端口 的 路 径 开销 值 ， 实 现 将 该 端口 阻塞 。 端 口 路 径 开销 值 取 值 范围 由 路 径 开 销 计 算 方 
法 决定 ， 这 里 选择 使 用 华为 计算 方法 为 例 ， 配 置 将 被 阻塞 端口 的 路 径 开销 值 为 20 000， 同 一 网 
络 内 所 有 交换 设备 的 端口 路 径 开 销 应 使 用 相同 的 计算 方法 。 
# 配 置 SwitchA 的 端口 路 径 开销 计算 方法 为 华为 计算 方法 ，SwitchB、SwitchD 配置 方法 相同 
[SwitchA] stp pathcost-standard legacy 


# 配 置 SwitchC 端口 GigabitEthernet0/0/1 端口 路 径 开销 值 为 20000 
[SwitchC] stp pathcost-standard legacy 

[SwitchC] interface gigabitethemet 0/0/1 
[SwitchC-GigabitEthernet0/0/1] stp cost 20000 
[SwitchC-GigabitEthernet0/0/1] quit 


启用 STP， 实 现 破 除 环 路 ， 将 与 PC 机 相连 的 端口 设置 为 边缘 端口 并 启用 端口 的 BPDU 报 
文 过 滤 功能 。 


# 配 置 SwitchD 端口 GigabitEthernet0/0/2 为 边缘 端口 并 启用 端口 的 BPDU 报 文 过 滤 功 能 
[SwitchB] interface gigabitethernet 0/0/2 

[SwitchB-GigabitEthernet0/0/2] stp edged-port enable 

[SwitchB-GigabitEthernet0/0/2] stp bpdu-filter enable 

[SwitchB-GigabitEthernet0/0/2] quit 


# 配 置 SwitchC 端口 GigabitEthernet0/0/2 为 边缘 端口 并 启用 端口 的 BPDU 报 文 过 滤 功 能 
[SwitchC] interface gigabitethernet 0/0/2 

[SwitchC-GigabitEthernet0/0/2] stp edged-port enable 

[SwitchC-GigabitEthernet0/0/2] stp bpdu-filter enable 

[SwitchC-GigabitEthernet0/0/2] quit 


设备 全 局 启用 STP， 所 有 设备 配置 相同 。 
# 设 备 SwitchA 全 局 启用 STP 
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[SwitchA] stp enable 
(2) 检查 配置 结果 。 


经 过 以 上 配置 ， 在 网 络 计算 稳定 后 ， 执 行 以 下 操作 ， 验 证 配置 结果 。 在 SwitchA 上 执行 
display stp brief 命令 ， 查 看 端口 状态 和 端口 的 保护 类 型 。 


[SwitchA] display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 DESI FORWARDING NONE 
0 GigabitEthernet0/0/2 DESI FORWARDING NONE 


将 SwitchA 配置 为 根 桥 后 ， 与 SwitchB、SwitchD 相连 的 端口 GigabitEthermet0/0/2 和 
GigabitEthermet0/0/1 在 生成 树 计 算 中 被 选举 为 指定 端口 。 

在 SwitchD 上 执行 display stp interface gigabitethernet 0/0/] brief 命令 ， 查 看 端口 
GigabitEthemet0/0/1 状态 。 


[SwitchD] display stp interface gigabitethernet 0/0/1 brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 DESI FORWARDING NONE 


端口 GigabitEthernet0/0/1 在 生成 树 选举 中 成 为 指定 端口 ， 处 于 Forwarding 状态 。 
在 SwitchC 上 执行 display stp brief 命令 ， 查 看 端口 状态 ， 结 果 如 下 : 


[SwitchC] display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 ALIE DISCARDING NONE 
0 GigabitEthernet0/0/3 ROOT FORWARDING NONE 


端口 GigabitEthernet0/0/3 在 生成 树 选举 中 成 为 根 端口 ， 处 于 FORWARDING 状态 。 端 口 
GigabitEthemet0/0/1 在 生成 树 选 举 中 成 为 Alternate 端口 ， 处 于 DISCARDING 状态 。 


10.3 ”路 由 器 的 配置 


现在 市 场 上 路 由 器 的 种 类 繁多 、 型 号 各 异 ， 但 华为 的 路 由 器 占 市 场 主流 的 产品 具有 一 定 的 
代表 性 。 本 节 采 用 华为 路 由 器 的 配置 案例 讲解 路 由 器 配置 的 相关 技术 和 知识 。 
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10.3.1 路 由 器 概述 


路 由 器 (Router) 是 一 种 典型 的 网 络 层 设备 ， 在 OSI 参考 模型 中 被 称 为 中 介 系 统 ， 用 于 完 
成 网 络 层 中 继 或 第 三 层 中 继 的 任务 。 路 由 器 负责 在 两 个 局 域 网 的 网 络 层 间接 传输 数据 分 组 ， 并 
确定 网 络 上 数据 传送 的 最 佳 路 径 。 因 为 它们 运行 PP 协议 基于 第 三 层 信息 为 分 组 选择 路 由 《如 
图 10-17 所 示 )， 所 以 路 由 器 已 经 成 为 Internet 的 骨干 。 


192.168.3.0 


192.168.1.0 路 由 器 
92.168.0.0 


Cw) 


图 10-17 路 由 器 


路 由 器 是 用 于 连接 多 个 逻辑 上 分 开 的 网 络 ， 所 谓 逻 辑 网 络 ， 是 代表 一 个 单独 的 网 络 或 者 一 
个 子 网 。 当 数据 从 一 个 子 网 传输 到 另 一 个 子 网 时 ， 可 通过 路 由 器 来 完成 。 因 此 ， 路 由 器 具有 判 
断 网 络 地 址 和 选择 路 径 的 功能 ， 它 能 在 多 网 络 互联 环境 中 建立 灵活 的 连接 ， 可 用 完全 不 同 的 数 
据 分 组 和 介质 访问 方法 连接 各 种 子 网 。 它 不 关心 各 子 网 使 用 的 硬件 设备 ， 但 要 求 运行 与 网 络 层 
协议 相 一 致 的 软件 。 路 由 器 分 本 地 路 由 器 和 远程 路 由 器 ， 本 地 路 由 器 是 用 来 连接 网 络 传输 介质 
的 ， 例 如 光纤 、 同 轴 电 缆 、 双 绞 线 ;远程 路 由 器 是 用 来 连接 远程 传输 介质 的 ， 并 要 求 相应 的 设 
备 ， 如 电话 线 要 配 调制 解 调 器 ， 无 线 要 通过 无 线 接收 机 、 发 射 机 。 

一 般 来 说 ， 异 种 网 络 互联 与 多 个 子 网 互联 都 应 采用 路 由 器 来 完成 。 

路 由 器 的 主要 工作 就 是 为 经 过 的 每 个 数据 包 寻 找 一 条 最 佳 的 传输 路 径 ， 并 将 该 数据 有 效 地 
传送 到 目的 站 点 。 由 此 可 见 ， 选 择 最 佳 路 径 的 策略 〈 路 由 算法 ) 是 路 由 器 的 关键 所 在 。 为 了 完 
成 这 项 工作 ， 在 路 由 器 中 保存 着 各 种 传输 路 径 的 相关 数据 一 一 路 由 表 (Routing Table) 供 路 由 
选择 时 使 用 。 路 由 表 中 保存 着 子 网 的 标志 信息 、 下 一 跳 地 址 和 将 数据 转发 出 去 的 接口 等 信息 。 
路 由 表 可 以 是 由 管理 员 手工 设置 好 的 ， 也 可 以 由 路 由 器 根据 网 络 当时 的 结构 和 状态 自动 调整 。 


192.168.2.0 
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由 系统 管理 员 事先 设置 好 固定 的 路 由 表 称 为 静态 〈static) 路 由 表 ， 一 般 是 在 安装 系统 时 就 
根据 网 络 的 配置 情况 预先 设 定 的 ， 它 不 会 随 未 来 网 络 结构 的 改变 而 改变 。 

动态 (Dynamic) 路 由 表 是 路 由 器 根据 网 络 系统 的 运行 情况 而 自动 调整 的 路 由 表 。 路 由 器 
根据 路 由 选择 协议 〈(Routing Protocol) 提供 的 功能 自动 学 习 和 记忆 网 络 的 运行 情况 ， 通 过 一 定 
的 路 由 算法 自动 计算 数据 传输 的 最 佳 路 径 。 


10.3.2 ”路 由 器 的 基本 配置 


1.， 路 由 器 的 命令 状态 


与 交换 机 的 配置 类 似 ， 路 由 器 的 配置 操作 有 3 种 模式 ， 即 用 户 视 图 、 系 统 视 图 和 具体 业务 
视图 。 用 户 视图 模式 下 ， 在 用 户 视图 下 ， 用 户 可 以 完成 查看 运行 状态 和 统计 信息 等 功能 ， 这 些 
命令 对 路 由 器 的 正常 工作 没有 影响 ; 在 系统 视图 模式 下 ， 用 户 可 以 配置 系统 参数 以 及 通过 该 视 
图 进入 其 他 的 功能 配置 视图 在 具体 业务 视图 模式 下 ， 用 户 可 以 配置 接口 相关 的 物理 属性 、 链 
路 层 特性 及 中 地址 等 重要 参数 ， 路 由 协议 的 大 部 分 参数 也 需要 在 这 种 模式 下 配置 。 
其 中 ， 配 置 模式 又 分 为 全 局 配置 模式 和 接口 配置 模式 、 路 由 协议 配置 模式 、 线 路 配置 模式 
等 子 模式 。 在 不 同 的 工作 模式 下 ， 路 由 器 有 不 同 的 命令 提示 状态 。 
。 ”<Switch>。 在 交换 机 正常 启动 后 ， 用 户 使 用 终端 仿真 软件 或 Telnet 登录 交换 机 ， 可 自 
动 进入 用 户 配置 模式 ， 这 时 用 户 可 以 看 路 由 器 的 连接 状态 ， 访 问 其 他 网 络 和 主机 ， 但 
不 能 看 到 和 更 改 路 由 器 的 设置 内 容 。 

。 [Switch]。 路 由 器 处 于 系统 视图 命令 状态 ， 在 <Switch> 提 示 符 下 输入 system-view， 可 进 
入 系统 视图 状态 ， 这 时 不 仅 可 以 执行 所 有 的 用 户 命 令 , 还 可 以 看 到 和 更 改 路 由 器 的 设 
置 内 容 。 

e [Switch-vlan1]。 路 由 器 处 于 具体 的 业务 视图 状态 ， 在 [Switch] 提 示 符 下 输入 需要 配置 的 

业务 命令 ， 可 进入 该 状态 。 退 出 具体 的 业务 输入 quit。 

。 在 开机 自 检 时 , 按 Ctrl+Break 组 合 键 可 进入 BootROM menu 状态 , 这 时 路 由 器 不 能 完 

成 正常 的 功能 ， 只 能 进行 软件 升级 和 手工 引导 , 或 者 进行 路 由 器 口令 恢复 时 要 进入 该 


2. 路 由 器 的 基本 配置 


配置 enable 口令 、enable 密码 和 主机 名 , 在 路 由 器 中 同样 可 以 配置 启用 口令 (enable password) 
和 启用 密码 (enable secret)， 一 般 情况 下 只 需 配置 一 个 就 可 以 ， 当 两 者 同时 配置 时 ， 后 者 生效 。 
这 两 者 的 区 别 是 启用 口令 以 明文 显示 而 启用 密码 以 密 文 形式 显示 。 主 机 名 及 路 由 器 口令 的 设置 
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和 上 一 节 对 交换 机 配置 的 主机 名 及 口令 相同 ， 这 里 不 再 袭 述 。 

配置 路 由 器 以 太 网 接口 ， 路 由 器 一 般 提 供 一 个 或 多 个 以 太 网 接口 槽 ， 每 个 槽 上 会 有 一 个 以 
上 以 太 网 接口 。 以 太 网 接口 因此 而 命名 为 {Ethemet 槽 位 /端口 } 或 { GigabitEthemet 槽 位 /端口 },， 例 
如 Ethemet0/0、GigabitEthermet 0/0/1， 也 可 缩写 为 Eth0/0、GE0/0/1。 

以 AR 3600 系列 路 由 器 为 例 ， 电 缆 连 接 如 图 10-18 所 示 ， 连 接 好 仿真 终端 到 路 由 器 的 
Console 电缆 线 ， 就 可 以 对 路 由 器 进行 初始 的 配置 工作 了 。 


路 由 器 


图 10-18 仿真 终端 与 路 由 器 的 连接 
对 以 太 网 接口 做 如 下 配置 : 


# 设 置 系统 的 日 期 、 时 间 和 时 区 
<Huawei> clock timezone BJ add 08:00:00 
<Huawei> clock datetime 20:10:00 2015-03-26 


# 设 置 设备 名 称 和 管理 亿 地 址 

<Huawei> system-view 

[Huawei] sysname Server 

[Server] interface gigabitethernet 0/0/0 
[Server-GigabitEthernet0/0/0] ip address 10.137.217.177 24 
[Server-GigabitEthernet0/0/0] quit 


# 设 置 Telnet 用 户 的 级 别 和 认证 方式 

[Server] telnet server enable 

[Server] user-interface vty 0 4 

[Server-ui-vty0-4] user privilege level 15 

[Server-ui-vty0-4] authentication-mode aaa 

[Server-ui-vty0-4] quit 

[Server] aaa 

[Server-aaa] local-user admin1234 password irreversible-cipher Helloworld@6789 
[Server-aaa] local-user admin1234 privilege level 15 

[Server-aaa] local-user admin1234 service-type telnet 
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[Server-aaa] quit 


由 于 同一 厂商 的 网 络 设备 往往 采用 一 种 网 络 操 作 平台 ， 交 换 机 、 路 由 器 的 配置 以 及 命令 的 
使 用 都 是 相似 的 。 


3. 批量 配置 技术 


大 型 网 络 的 组 网 和 网 络 管理 中 都 会 同时 用 到 多 个 路 由 器 和 交换 设备 ,可 以 通过 批量 配置 技 
术 快 速配 置 多 台 网 络 设备 。 例 如 华为 交换 机 AR 系列 路 由 器 通过 Auto-Config 功能 实现 设备 的 
批量 配置 Auto-Config 是 指 新 出 厂 或 空 配置 设备 加 电 启动 时 采用 的 一 种 自动 加 载 版 本 文件 ( 包 
括 系统 软件 、 补 丁 文件 、 配 置 文件 ) 的 功能 。 

如 图 10-19 所 示 ，RouterA、RouterB 和 RouterC 运行 Auto-Config 功能 后 , 设备 作为 DHCP 
客户 端 定时 向 DHCP 服务 器 发 送 DHCP 请 求 报 文 以 获得 配置 信息 ， 然 后 DHCP 服务 器 向 待 配 
置 设备 响应 DHCP 应 答 报 文 ， 报 文 内 容 包 括 分 配给 待 配 置 设备 的 下 地址、 文件 服务 器 的 他 地 
址 、 文 件 服务 器 的 登录 方式 、 版 本 文件 的 配置 信息 (此 信息 也 可 以 通过 中 间 文 件 获 取 ， 中 间 文 
件 需要 预先 编辑 存放 在 文件 服务 器 )， 最 后 设备 根据 收 到 的 DHCP 响应 报 文中 携带 的 配置 信息 
向 指定 的 文件 服务 器 自动 获取 版 本 文件 并 设置 为 下 次 启动 加 载 的 文件 ， 待 设备 重启 后 ， 设 备 就 
实现 了 版 本 文件 的 自动 加 载 。 


DHCP 服 务 器 


RQ 


FTP/TFTP/SFTP 服 务 器 


RouterC 


图 10-19 Auto-Config 组 网 图 


车 网 络 中 有 一 台 SFTP 服务 器 (GE0/0/1，IP 地 址 172.16.100.100/24)， 一 台 DHCP 服务 器 
(GE0/0/11，JP 地 址 172.16.100.1/24 用 于 与 SFTP 互联 ; Eth1/0/1-3，VLANIF10，IP 地 址 
172.16.200.100/24 用 于 与 待 配 置 路 由 器 互联 )，3 台 待 配置 路 由 器 。 举 例 说 明 配 置 同 网 段 
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Auto-Config 步骤 。 


步骤 1: 配置 SFTP 服务 器 。 
# 配 置 SFTP 服务 器 功能 及 参数 


<Huawei> system-view 
[Huawei] sysname SFTP Server 
[SFTP Server] rsa local-key-pair createThe key name will be: Host 
RSA keys defined for Host already exist. 
Confirm to replace them? (y/n)[n]:y 
The range of public key size is (512 ~ 2048). 
NOTES: If the key modulus is less than 2048, 
It will introduce potential security risks. 
Input the bits in the modulus[default = 2048]:2048 
Generating keys... 


[SFTP Server] sftp server enable 


# 配 置 SSH 用 户 登 录 的 用 户 界面 

[SFTP Server] user-interface vty 0 4 

[SFTP Server-ui-vty0-4] authentication-mode aaa 
[SFTP Server-ui-vty0-4] protocol inbound all 
[SFTP Server-ui-vty0-4] user privilege level 15 
[SFTP Server-ui-vty0-4] quit 


# 配 置 SSH 用 户 

[SFTP Server] aaa 

[SFTP Server-aaa] local-user user password 

Please configure the login password (8-128) 

It is recommended that the password consist of at least 2 types of characters, 1 
ncluding lowercase letters, uppercase letters, numerals and special characters. 
Please enter password: 

Please confirm password: 

[SFTP Server-aaa] local-user user privilege level 15 

[SFTP Server-aaa] local-user user service-type ssh 

[SFTP Server-aaa] local-user user ftp-directory flash:\autoconfig 

[SFTP Server-aaa] quit 

[SFTP Server] ssh user user authentication-type password 


Es 


Ew 
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# 配 置 SFTP 服务 器 的 他 地址 

[SFTP Server] interface gigabitethernet 0/0/1 

[SFTP Server-GigabitEthernet0/0/1] ip address 172.16.100.100 255.255.255.0 
[SFTP Server-GigabitEthemet0/0/1] quit 


# 在 SFTP 服务 器 上 配置 缺 省 路 由 
[SFTP Server] ip route-static 0.0.0.0 0.0.0.0 172.16.100.1 


步骤 2: 将 配置 文件 、 系 统 软件 和 补丁 文件 上 传 至 SFTP 服务 器 的 工作 目录 flash:\autoconfig 


上 《上 传 步骤 略 )。 


步骤 3: 配置 DHCP 服务 器 (以 AR2220 为 例 )。 


<Huawei> system-view 

[Huawei] sysname DHCP Server 

[DHCP Server] dhcp enable 

[DHCP Server] vlan 10 

[DHCP Server-vlan10] quit 

[DHCP Server] interface ethernet 1/0/1 

[DHCP Server-Ethernet1/0/1] port link-type hybrid 

[DHCP Server-Ethernet1/0/1] port hybrid untagged vlan 10 
[DHCP Server-Ethernet1/0/1] port hybrid pvid vlan 10 
[DHCP Server-Ethernet1/0/1] quit 

[DHCP Server] interface ethernet 1/0/2 

[DHCP Server-Ethernet1/0/2] port link-type hybrid 

[DHCP Server-Ethernet1/0/2] port hybrid untagged vlan 10 
[DHCP Server-Ethernet1/0/2] port hybrid pvid vlan 10 
[DHCP Server-Ethernet1/0/2] quit 

[DHCP Server] interface ethernet 1/0/3 

[DHCP Server-Ethernet1/0/3] port link-type hybrid 

[DHCP Server-Ethernet1/0/3] port hybrid untagged vlan 10 
[DHCP Server-Ethernet1/0/3] port hybrid pvid vlan 10 
[DHCP Server-Ethemetl/0/3] quit 

[DHCP Server] interface gigabitEthermet 0/0/1 

[DHCP Server-GigabitEthernet0/0/1] ip address 172.16.100.1 255.255.255.0 
[DHCP Server-GigabitEthernet0/0/1] quit 

[DHCP Server] interface vlanif 10 

[DHCP Server-Vlanifl10] ip address 172.16.200.100 255.255.255.0 
[DHCP Server-Vlanif10] dhcp select global 


[DHCP Server-Vlanmif10] quit 
[DHCP Server] ip pool auto-config 
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[DHCP Server-ip-pool-auto-config] network 172.16.200.0 mask 255.255.255.0 
[DHCP Server-ip-pool-auto-config] gateway-list 172.16.200.100 

[DHCP Server-ip-pool-auto-config] option 67 ascii ar V200R008 (C20&C30) .cfg 
[DHCP Server-ip-pool-auto-config] option 141 ascii user 

[DHCP Server-ip-pool-auto-config] option 142 cipher huawei@123 

[DHCP Server-ip-pool-auto-config] option 143 ip-address 172.16.100.100 
[DHCPServer-ip-pool-auto-config]option145ascii vrpfile=auto V200R008 


(C20&C30) .cc:vrpver=V200R008 (C20&C30) :patchfile=ar V200R008 (C20&C30) pat: 


[DHCP Server-ip-pool-auto-config] quit 


步骤 4: 待 配置 设备 RouterA、RouterB 和 RouterC 上 电 启 动 ，Auto-Config 流程 开始 运 


步骤 5: 检查 配置 结果 。 


#Auto-Config 流 程 结束 后 , 登录 到 待 配 置 设备 执行 命令 display startup 查看 设备 当前 的 启动 系统 软件 ， 


启动 配置 文件 和 启动 补丁 文件 
以 RouterA 为 例 : 

<Huawei> display startup 
MainBoard: 


Startup system software: 
Next startup system software: 


Backup system software for next startup: 


Startup saved-configuration file: 
Next startup saved-configuration file: 
Startup license file: 

Next startup license file: 

Startup patch package: 

Next startup patch package: 

Startup voice-files: 

Next startup voice-files: 


4. 配置 静态 路 由 


flash:/ar V200R008 (C20&C30) .ce 
flash:/ar V200R008 (C20&C30) .cc 
null 
flash:/ar V200R008 (C20&C30) .cfg 
flash:/ar V200R008 (C20&C30) .cfg 
null 
null 
flash:/ar V200R008 (C20&C30) pat 
flash:/ar V200R008 (C20&C30) .pat 
null 
null 


通过 配置 静态 路 由 ， 用 户 可 以 人 为 地 指定 对 某 一 网 络 访问 时 所 要 经 过 的 路 径 ， 网 络 结构 比 
较 简单 ， 且 一 般 到 达 某 一 网 络 所 经 过 的 路 径 唯一 的 情况 下 采用 静态 路 由 。 下 面 通过 一 个 实例 介 
绍 设置 静态 路 由 、 查 看 路 由 表 ， 理 解 路 由 原理 及 概念 。 
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1) IPv4 静态 路 由 设置 
如 图 10-20 所 示 设 计 拓 扑 结 构 ，3 台 路 由 器 分 别 命名 为 R1I、R2、R3， 所 使 用 的 接口 和 相 
应 的 下 地 址 分 配 如 图 10-20 所 示 ， 其 中 “/24” 与 “/30” 表 示 子 网 掩 码 为 24 位 和 30 位 。 


GE0/0/2 GE0/0/2 GE0/0/0 GE0/0/2 
0.1.4.1/30 10.1.4.2/30 扩 


GE0/0/D GE0/0/1 s 上 到 ra 
10.1.1. 1/24 10.1.2. 1/24 


PC1 PC2 PC3 
10.1.1.2/24 10.1.2.2/24 10. 1. 3. 2/24 


图 10-20 静态 路 由 实例 图 
路 由 器 R1 配置 文件 如 下 。 


# 

interface GigabitEthemet0/0/1 /接口 视图 配置 R1 的 接口 地 址 
ip address 10.1.1.1 255.255.255.0 

# 

interface GigabitEthermet0/0/2 

ip address 10.1.4.1 255.255.255.252 


# 

ip route-static 10.1.2.0 255.255.255.0 10.1.4.2 ”// 系 统 视图 配置 R1 到 不 同 网 段 的 静态 路 由 
ip route-static 10.1.3.0 255.255.255.0 10.1.4.2 

# 

Teturm 


路 由 器 R2 配置 文件 如 下 。 


# 

interface GigabitEthermet0/0/1 // 接 口 视图 配置 R2 的 接口 地 址 
ip address 10.1.2.1 255.255.255.0 

# 

interface GigabitEthermet0/0/2 

ip address 10.1.4.2 255.255.255.252 

# 

interface GigabitEthemet0/0/0 


ip address 10.1.5.1 255.255.255.252 

# 

ip route-static 10.1.1.0 255.255.255.0 10.1.4.1 
ip route-static 10.1.3.0 255.255.255.0 10.1.5.2 
# 

Teturn 


路 由 器 R3 配置 文件 如 下 。 


# 

interface GigabitEthermet0/0/1 

ip address 10.1.3.1 255.255.255.0 

# 

interface GigabitEthernet0/0/2 

ip address 10.1.5.2 255.255.255.252 

# 

ip route-static 10.1.1.0 255.255.255.0 10.1.5.1 
ip route-static 10.1.2.0 255.255.255.0 10.1.5.1 
# 

return 
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// 系 统 视图 配置 R2 到 不 同 网 段 的 静态 路 由 


// 接 口 视图 配置 R3 的 接口 地 址 


// 系 统 视图 配置 R3 到 不 同 网 段 的 静态 路 由 


通过 路 由 器 中 配置 静态 路 由 以 实现 路 由 器 RI、R2、R3 在 人 P 层 的 相互 连通 性 ， 也 就 是 要 


求 PC1、PC2、PC3 之 间 可 以 相互 ping 通 。 


首先 在 R1 路 由 器 上 查看 静态 路 由 表 的 信息 ， 可 以 看 到 两 条 静态 路 由 信息 ， 


10.1.4.2。 


<R1>display ip routing-table protocol static 
Route Flags: R - relay, D - download to fib 


Public routing table : Static 
Destinations : 2 
Static routing table status : <Active> 


Routes :2 


下 一 跳 都 指向 


Configured Routes : 2 


Destinations : 2 Routes :2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.2.0/24 Static 60 0 10.1.4.2 GigabitEthernet0/0/2 
10.1.3.0/24 Static 60 0 10.1.4.2 GigabitEthernet0/0/2 


Static routing table status : <Inactive> 


Destinations : 0 Routes:0 
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接 下 来 在 PC1 的 命令 行 ping 通 终端 PC2， 显 示 如 下 ,结果 验证 了 PC1 到 PC2 在 他 层 
数据 可 达 ， 其 他 PC 间 测 试 相 似 。 


PC1>ping 10.1.2.2 
Ping 10.1.2.2: 32 data bytes, Press Ctrl_C to break 
From 10.1.2.2: bytes=32 seq=]1 tt=126 time=16 ms 
From 10.1.2.2: bytes=32 seq=2 ttl=126 time=16 ms 
From 10.1.2.2: bytes=32 seq=3 tt=126 time=16 ms 
From 10.1.2.2: bytes=32 seq=4 ttl=126 time=16 ms 
From 10.1.2.2: bytes=32 seq=5 ttl=126 time=16 ms 
--- 10.1.2.2 ping statistics -一 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 16/16/16 ms 


2) IPv6 静态 路 由 设置 
网 络 拓扑 结构 如 图 10-21 所 示 ， 将 两 台 路 由 器 分 别 命名 为 Rl1 和 R2， 所 使 用 的 接口 和 相应 
的 中 地 址 分 配 如 图 10-21 所 示 。 


GE2/0/0 GE2/0/0 
3::1/64 3::2/64 


R1 R2 
GE1/0/0 GE1/0/0 
1::1/64 2::1/64 
PC1 PC2 
网 关 地 址 1: :1/64 网 关 地 址 2: : 1/64 
IP 地 址 1: :2/64 IP 地 址 2: :2/64 


图 10-21 IPv6 静态 路 由 实例 图 


配置 IPv6 路 由 协议 前 , 首先 启用 路 由 设备 转发 IPv6 单 播报 文 。 在 接口 下 配置 关于 IPv6 
特性 的 命令 前 需要 在 接口 上 启用 IPv6 功能 。 其 次 , 在 各 主机 上 配置 缺 省 网 关 ， 正 确 配置 各 
路 由 器 各 接口 的 IPv6 地 址 ， 使 网 络 互通 。 

R1 的 相关 配置 如 下 。 


基 

ipv6 // 启 用 路 由 器 IPv6 报 文 转发 能 力 
# 

interface GigabitEthernet1/0/0 

ipv6 enable // 在 接口 上 启用 IPv6 功能 

ipv6 address 1::1 64 

# 

interface GigabitEthemet2/0/0 

ipv6 enable 

ipv6 address 3::1 64 

# 

ipv6 route-static 2:: 64 3::1 /配置 R1 到 2::64 网 段 的 静态 路 由 
# 

return 


R2 的 相关 配置 如 下 。 


# 

ipv6 

# 

interface GigabitEthernet1/0/0 
ipv6 enable 

ipv6 address 2::1 64 

# 

interface GigabitEthernet2/0/0 
ipv6 enable 

ipv6 address 3::2 64 

# 

ipv6 route-static 1:: 64 3::2 /配置 Rl1 到 1::64 网 段 的 静态 路 由 
# 

Teturn 


3) 检查 配置 结果 
使 用 display ipv6 routing-table 命令 查看 路 由 器 的 正路 由 表 。 
使 用 Ping ipv6 命令 验证 连通 性 ， 要 求 从 PC1 可 以 ping 通 PC2。 
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10.4 配置 路 由 协议 


本 节 主 要 讲述 对 路 由 协议 的 配置 。 IP 路 由 选择 协议 用 有 效 的 、 无 循环 的 路 由 信息 填充 路 由 
表 ， 从 而 为 数据 包 在 网 络 之 间 传 递 提供 了 可 靠 的 路 径 信息 。 路 由 选择 协议 又 分 为 距离 矢量 、 链 
路 状态 和 平衡 混合 3 种 。 

距离 矢量 (Distance Vector) 路 由 协议 计算 网 络 中 所 有 链 路 的 矢量 和 距离 并 以 此 为 依据 确 
认 最 佳 路径 。 使 用 距离 矢量 路 由 协议 的 路 由 器 定期 向 其 相 邻 的 路 由 器 发 送 全 部 或 部 分 路 由 表 。 
典型 的 距离 矢量 路 由 协议 有 RIP (Routing Information Protocol， 路 由 选择 信息 协议 )。 

链 路 状态 (Link State) 路 由 协议 使 用 为 每 个 路 由 器 创建 的 拓扑 数据 库 来 创建 路 由 表 ， 每 个 
路 由 器 通过 此 数据 库 建 立 一 个 整个 网 络 的 拓扑 图 。 在 拓扑 图 的 基础 上 通过 相应 的 路 由 算法 计算 
出 通 往 各 目标 网 段 的 最 佳 路 径 ， 并 最 终 形 成 路 由 表 。 典 型 的 链 路 状态 路 由 协议 是 OSPF (Open 
Shortest Path First， 开 放 最 短路 径 优先 ) 路 由 协议 和 IS-IS (Intermediate System to Intermediate 
System， 属 于 内 部 网 关 协 议 IGP)。 

平衡 混合 (Balanced Hybrid) 路 由 协议 结合 了 链 路 状态 和 距离 矢量 两 种 协议 的 优点 ， 此 类 
协议 的 代表 是 BGP， 即 边界 网 关 协 议 。 

下 面 分 别 讨论 如 何在 路 由 器 中 配置 这 些 动 态 路 由 协议 。 


10.4.1 配置 RIP 协议 


1. 配置 RIP 协议 


RIP 是 距离 矢量 路 由 选择 协议 的 一 种 。 路 由 器 收集 所 有 可 到 达 目 的 地 的 不 同 路 径 ， 并 且 保 
存 有 关 到 达 每 个 目的 地 的 最 少 站 点 数 的 路 径 信息 ， 除 到 达 目 的 地 的 最 佳 路 径 外 ， 任 何其 他 信息 
均 予 以 丢弃 。 同 时 ， 路 由 器 也 把 所 收集 的 路 由 信息 用 RIP 协议 通知 相 邻 的 其 他 路 由 器 。 这 样 ， 
正确 的 路 由 信息 逐渐 扩散 到 了 全 网 。 

RIP 使 用 非常 广泛 ， 它 简单 、 可 靠 ， 便 于 配置 。RIP 版 本 2 还 支持 无 类 域 间 路 由 (Classless 
Inter-Domain Routing，CIDR)、 可 变 长 子 网 掩 码 (Variable Length Subnetwork Mask，VLSMD) 
和 不 连续 的 子 网 ， 并 且 使 用 组 播 地 址 发 送 路 由 信息 。 但 是 RIP 只 适用 于 小 型 的 同 构 网 络 ， 因 为 
它 允 许 的 最 大 跳 数 为 15, 任何 超过 15 个 站 点 的 目的 地 均 被 标记 为 不 可 达 。RIP 每 隔 30s 广播 一 
次 路 由 信息 。 

RIP 应 用 于 OSI 网 络 七 层 模型 的 应 用 层 。 各 厂家 定义 的 管理 距离 (AD， 即 优先 级 ) 略 有 不 
同 ， 华 为 定义 的 优先 级 是 100。 

其 相关 的 命令 如 表 10-2 所 示 。 
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表 10-2 RIP 的 相关 命令 


display rip 1 route 看 路 由 表 信 息 
display rip route | 查看 RIP 协议 的 路 由 信息 
查看 RIP 接口 信息 


Tip [process-id] 
version 2 | 指定 RP 版 本 2 
指定 与 该 路 由 器 相连 的 网 络 


network network display rip interface 


假设 有 图 10-22 所 示 的 网 络 拓 扑 结 构 ， 试 通过 配置 RIP 协议 使 全 网 连通 。 


# 配 置 路 由 器 R1 接口 的 人 P 地 址 
[R1] interface gigabitethernet 0/0/1 
[R1-GigabitEthernet0/0/2] ip address 192.168.1.1 24 


GE0/0/2 
172. 16. 1. 2/24 


GE0/0/2 


GE0/0/2 


92. 168. 1. 1/24 10. 1. 1. 1/24 172. 16. 1. 1/24 R4 


图 10-22 ”RIP 协议 配置 拓扑 图 


R2、R3 和 R4 的 配置 与 Rl 的 配置 相似 。 


# 配 置 路 由 器 R1 的 RIP 功能 
[Rl] rip 

[Rl-rip-1] network 192.168.1.0 
[Rl-rip-1] quit 


# 配 置 路 由 器 R2 的 RIP 功能 
[R2] rip 

[R2-rip-1] network 192.168.1.0 
[R2-rip-1] network 10.0.0.0 
[RouterB-rip-1] quit 


# 了 配置 路 由 器 R3 的 RIP 功能 
[R3] mp 

[R3-rip-1] network 10.0.0.0 
[R3-rip-1] network 172.16.0.0 
[R3-rip-1] quit 


# 配 置 路 由 器 R4 的 RIP 功能 
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BR4] mp 
[R4-rip-1] network 172.16.0.0 
[R4-rip-1] quit 


# 查 看 路 由 器 R1 的 RIP 路 由 表 
[R1] display rip 1 route 
Route Flags: R- RIP 
A-Aging, S - Suppressed, G - Garbage-collect 


Peer 192.168.1.2 on GigabitEthernet0/0/1 


Destination/Mask Nexthop Cost Tag Flags Sec 
10.0.0.0/8 192.168.1.2 0 RA 1 
172.16.0.0/16 192.168.1.2 2 0 RA 和 


从 路 由 表 中 可 以 看 出 ，RIP-1 发 布 的 路 由 信息 使 用 的 是 自然 掩 码 。 

分 别 在 路 由 器 RI、R2、R3、R4 配置 RIP-2， 在 路 由 器 R1 上 配置 如 下 ， 其 他 路 由 器 上 配 
置 方法 相同 。 

# 在 路 由 器 R1 上 配置 RIP-2 

[Rl]rip 

[Rl-rip-1] version 2 

[Rl-rip-1] quit 


# 查 看 路 由 器 Rl 的 RIP 路 由 表 
[R1] display rip 1 route 
Route Flags: R - RIP 
A-Aging, S - Suppressed, G - Garbage-collect 


Peer 192.168.1.2 on GigabitEthernet0/0/1 


Destination/Mask Nexthop Cost Tag Flags Sec 
10.1.1.0/24 192.168.1.2 0 RA 4 
172.16.1.0/24 192.168.1.2 2 0 RA 4 


从 路 由 表 中 可 以 看 出 ，RIP-2 发 布 的 路 由 中 带 有 更 为 精确 的 子 网 掩 码 信息 。 
2. RIP 与 BFD 联动 
双向 转发 检测 BFD (Bidirectional Forwarding Detection) 是 一 种 用 于 检测 邻居 路 由 器 之 间 


链 路 故障 的 检测 机 制 ， 它 通常 与 路 由 协议 联动 ， 通 过 快速 感知 链 路 故障 并 通告 使 得 路 由 协议 能 
够 快速 地 重新 收敛 ， 从 而 减少 由 于 拓扑 变化 导致 的 流量 丢失 。 
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假设 有 图 10-23 所 示 的 网 络 拓扑 结构 ,在 网 络 中 有 4 台 路 由 器 通过 RIP 协议 实现 网 络 互通 。 
其 中 业务 流量 经 过 主 链 路 R1---R2---R3 进行 传输 。 要 求 提高 从 R1---R2 数据 转发 的 可 靠 性 ， 当 
主 链 路 发 生 故 障 时 ， 业 务 流量 会 快速 切换 到 另 一 条 路 径 进 行 传输 。 


# 配 置 路 由 器 R1 接口 的 下 地 址 

[R1] interface gigabitethernet 0/0/1 
[R1-GigabitEthernet0/0/1] ip address 192.168.1.2 24 
[R1-GigabitEthernet0/0/1] quit 

[R1] ] interface gigabitethernet 0/0/2 
[R1-GigabitEthernet0/0/2] ip address 192.168.2.2 24 
[R1-GigabitEthernet0/0/2] quit 


GE0/0/0 


72. 16. 1.1/24 < 
NS 6E0/0/2 NW 
GE0/0/1 172.16.1.2/24 SS 


192. 168. 3. 1/24 


GE0/0/1 
192. 168. 1. 2/24 R22 


GE0/0/2 
192. 168. 2. 2/24 


GE0/0/2 
192. 168. 3.2/24 


192. 168. 2. 1/24 `® 
/4 a 


R4 


图 10-23 RIP 协议 配置 拓扑 图 


# 配 置 路 由 器 Rl 的 RIP 的 基本 功能 
[Rl]Jnip1l 

[Rl-rip-1] version 2 

[Rl-rip-1] network 192.168.1.0 
[Rl-rip-1] network 192.168.2.0 
[Rl1-rip-1] quit 


路 由 器 R2、R3 和 R4 的 配置 与 路 由 器 Rl 相似 。 


# 查 看 路 由 器 R1、R2 以 及 路 由 器 R4 之 间 已 经 建立 的 邻居 关系 ， 以 路 由 器 R1 的 显示 为 例 
[Rl1l]dis rip 1 neighbor 


192.168.1.1 GigabitEthernet0/0/1 RIP 0:0:20 
Number of RIProutes :1 


Eg 
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192.168.2.1 GigabitEthernet0/0/2 RIP 0:0:12 
Number of RIProutes :1 


# 查 看 完成 配置 的 路 由 器 之 间 互 相 引 入 的 路 由 信息 ， 以 路 由 器 R1 的 显示 为 例 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


192.168.3.0/24 RIP 100 192.168.1.1 GigabitEthernet0/0/1 
192.168.2.1 GigabitEthernet0/0/2 


127.0.0.1 InLoopBack0 


Destinations : 12 Routes : 13 
Destination/Mask 。 Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 RIP 100 1 D 192.168.1.1 GigabitEthernet0/0/1 
192.168.1.0/24 Direct 0 0 D 192.168.12 GigabitEthernet0/0/1 
192.168.1.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.2.0/24 Direct 0 0 D 192.168.2.2 GigabitEthernet0/0/2 
192.168.2.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 
192.168.2.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 
1 D 
1 D 
0 D 


255.255.255.255/32 Direct 0 


由 路 由 表 看 到 去 往 目 的 地 172.16.1.0/24 的 下 一 跳 地 址 是 192.168.1.1， 接 口 是 
GigabitEthernet0/0/1， 流 量 在 主 链 路 路 由 器 R1---R2 上 进行 传输 。 


# 配 置 路 由 器 Rl1 上 所 有 接口 的 BFD 特性 

[R1] bfd 

[R1-bfd] quit 

[Rl]ripl 

[R1-rip-1] bfd all-interfaces enable /启用 bfd 功能 ， 并 配置 最 小 发 送 、 时 间 间 隔 和 检测 时 间 倍 数 等 
[R1-rip-1] bfd all-interfaces min-rx-interval 100 min-tx-interval 100 detect-multiplier 10 

[Rl-rip-1] quit 


R2 的 配置 与 此 相似 。 


# 完 成 上 述 配置 之 后 ， 在 路 由 器 Rl1 上 执行 命令 display rip bfda session 看 到 路 由 器 R1 与 R2 之 间 已 经 
建立 起 BFD 会 话 ，BFDState 字段 显示 为 Up， 以 路 由 器 R1 的 显示 为 例 
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[R1]dis rip 1 bfd session all 
Locallp :192.168.1.2 RemoteIp :192.168.1.1 BFDState :Up 
TX :100 RX :100 Multiplier:10 
BFD Local Dis :8192 TInterface :GigabitEthernet0/0/1 
Diagnostic Info:No diagnostic information 
Locallp :192.168.2.2 RemoteIp :192.168.2.1 BFDState :Down 
TX :10000 RX :10000 Maultiplier:0 
BFD Local Dis :8193 Interface :GigabitEthermet0/0/2 
Diagnostic Info:No diagnostic information 

验 查 配置 结果 : 


# 在 路 由 器 R2 的 接口 GigabitEthemet2/0/0 上 执行 shutdown 命令 ， 模 拟 链 路 故障 
[R2] interface gigabitethernet 0/0/2 

[R2-GigabitEthernet0/0/2] shutdown 

# 查 看 R1 的 BFD 会 话 信息 ， 可 以 看 到 路 由 器 R1 及 R2 之 间 不 存在 BFD 会 话 信息 


[R1]dis rip 1 bfd session all 


LocalIp :192.168.2.2 RemoteIp :192.168.2.1 BFDState :Down 
TX :10000 RX :10000 Multiplier:0 
BFD Local Dis :8193 Interface :GigabitEthermet0/0/2 


Diagnostic Info:No diagnostic information 


# 查 看 R1 的 路 由 表 
[R1]dis ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 9 Routes:9 
Destination/Mask Proto Pre Cost Flags NextHop nterface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 127.0.0.1 InLoopBack0 
127.255.255.255/32 Direct 0 127.0.0.1 InLoopBack0 


172.16.1.0/24 RIP 100 
192.168.2.0/24 Direct 0 
192.168.2.2/32 Direct 0 


192.168.2.1 GigabitEthernet0/0/2 
192.168.2.2 GigabitEthernet0/0/2 
127.0.0.1 GigabitEthernet0/0/2 
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192.168.2.255/32 Direct 0 0 
192.168.3.0/24 RIP 100 1 
255.255.255.255/32 Direct 0 0 


D 127.0.0.1 GigabitEthermet0/0/2 
D 192.168.2.1 GigabitEthernet0/0/2 
D 127.0.0.1 InLoopBack0 


由 路 由 表 可 以 看 出 ， 在 主 链 路 发 生 故障 之 后 备份 链 路 R1---R4---R2 被 启用 ， 去 往 


172.16.1.0/24 的 路 由 下 一 跳 地 址 是 192.168.2. 


10.4.2 ”配置 IS-IS 协议 


1， 出 接口 为 GigabitEthernet0/0/2。 


中 间 系 统 到 中 间 系 统 IS-IS (Intermediate System to Intermediate System) 属于 内 部 网 关 协 议 
IGP (Interior Gateway Protocol)， 用 于 自治 系统 内 部 。 为 了 支持 大 规模 的 路 由 网 络 ，IS-IS 在 自 
治 系统 内 采用 骨干 区 域 与 非 骨干 区 域 两 级 的 分 层 结 构 。 一 般 来 说 ， 将 Level-1 路 由 器 部 署 在 非 
骨干 区 域 ，Level-2 路 由 器 和 Level-1-2 路 由 器 部 署 在 骨干 区 域 。 每 一 个 非 骨 干 区 域 都 通过 


Level-1-2 路 由 器 与 骨干 区 域 相连 。 


IS-IS 是 一 种 链 路 状态 路 由 协议 ， 每 一 台 路 由 器 都 会 生成 一 个 LSP， 它 包含 了 该 路 由 器 所 


有 启用 IS-IS 协议 接口 的 链 路 状态 信息 。 通 过 跟 相 邻 设备 建立 IS-IS 邻接 关系 ， 互 相 更 新 本 地 设 
备 的 LSDB, 可 以 使 得 LSDB 与 整个 IS-IS 网 络 的 其 他 设备 的 LSDB 实现 同步 。 然 后 根据 LSDB 
运用 SPF 算法 计算 出 IS-IS 路 由 。 如果 此 IS-IS 路 由 是 到 目的 地 址 的 最 优 路 由 , 则 此 路 由 会 下 发 


到 了 正路 由 表 中 ， 并 指导 报 文 的 转发 。 
其 相关 命令 如 表 10-3 所 示 。 


表 10-3 IS-IS 的 相关 命令 


创 


isis [ process-id ] 


功 能 
建 IS-IS 进程 并 进入 IS-IS 视图 


设 
为 


isis circuit-level[level-l|level-1-2|level-2] 


置 接口 的 Level 级 别 ， 默 认 情况 下 ， 接 口 的 Level 级 别 
level-1-2 


network-entity met 设 


置 网 络 实体 名 称 


net 


是 


指 


isis enable[process-id] 


格式 为 X…X.XXXX.XXXX.XXXX.00， 前 面 的 “X*…X” 


区 域 地 址 ， 中 间 的 12 个 “X” 是 路 由 器 的 System ID， 


最 后 的 “00” 是 SEL 


定 IS-IS 的 进程 号 , 默认 为 1, IS-IS 将 通过 该 接口 建立 


邻居 、 扩 散 LSP 报 文 


display isis peer 


查看 IS-IS 的 邻居 信息 


display isis route 


查看 IS-IS 的 路 由 信息 
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参照 图 10-24 给 出 一 个 IGRP 协议 配置 的 综合 实例 ， 现 网 中 有 4 台 路 由 器 。 要 求 这 4 台 路 
由 器 实现 网 络 互联 ,并 且 因为 Rl1 和 R2 性 能 相对 较 低 ， 要 求 这 两 台 路 由 器 处 理 相对 较 少 的 数据 
信息 。 


IS-IS | 
Area20 
SEN 
| GE1/0/0 
| 172. 16. 30. 2/24 
GE1/0/0 | GE1/0/0 


59. 74. 112. 2/24 172. 16. 30. 1/24 


GE2/0/0 | 
172. 16. 10. 1/24 | 


GE1/0/0 
172. 16. 10.2/24 站 
SEN 


， 6pz/oO/OSS 
1172.16.60.1/24 LL2 


图 10-24 IS-IS 协议 配置 拓扑 图 


# 配 置 Rl 器 接口 的 下 地址 ，R2、R3 和 R4 的 配置 与 Rl 一致 
[R1] interface gigabitethernet 1/0/0 

[R1-GigabitEthernet1/0/0] ip address 10.1.1.2 24 
[R1-GigabitEthernet1/0/0] quit 


# 配 置 Rl 的 IS-IS 基本 功能 ，R2、R3 和 R4 的 配置 与 Rl 相似 
[R1] isis 1 

[Rl-isis-1] is-level level-1 

[R1l-isis-1] network-entity 10.0000.0000.0001.00 

[Rl1-isis-1] quit 

[R1] interface gigabitethernet 1/0/0 

[R1-GigabitEthernet1/0/0] isis enable 1 

[R1-GigabitEthemet1/0/0] quit 


检查 配置 结果 。 


# 显示 各 Router 的 IS-IS LSDB 信息 ， 查 看 LSDB 是 否 同步 ， 例 如 检查 Rl 的 信息 命令 如 下 
[R1] display isis lsdb 
Database information for ISIS(1) 


Level-1 Link State Database 
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LSPID Seq Num Checksum Holdtime Length ATT/P/OL 
0000.0000.0001.00-00* 0x00000006 Oxbf7d 649 68 0/0/0 
0000.0000.0001.01-00* 0x00000002 Oxcfbb 1157 3 0/0/0 
0000.0000.0002.00-00 ”0x00000003 Oxef4d 545 68 0/0/0 
0000.0000.0003.00-00 0x00000008 0x3340 582 111 1/0/0 


Total LSP(s): 4 


*(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), 
ATT-Attached, P-Partition, OL-Overload 


# 显示 各 路 由 器 的 IS-IS 路 由 信息 。Level-1 路 由 器 的 路 由 表 中 应 该 有 一 条 默认 路 由 ， 且 下 一 跳 为 
Level-1-2 路 由 器 ，Level-2 路 由 器 应 该 有 所 有 Level-1 和 Level-2 的 路 由 , 例如 检查 R1 的 命令 如 下 


[R1] display isis route 
Route information for ISIS(1) 
ISIS(1) Level-1 Forwarding Table 
IPV4 Destination IntCost ExtCost Exitmterface NextHop Flags 
172.16.30.0/24 10 NULL GE1/0/0 Direct D/-/L/- 
172.16.10.0/24 20 NULL GE1/0/0 172.16.30.1 A/-/-/- 
159.74.112.0/24 20 NULL GE1/0/0 172.16.30.1 A/-/-/- 
0.0.0.0/0 10 NULL GE1/0/0 172.16.30.1 A/-/-/- 
Flags: D-Direct, A-Added to URT, L-Advertised in LSPs, S-IGP Shorteut, 


U-Up/Down Bit Set 


经 过 检查 LSDB 同步 ， 并 且 R1 与 R2 的 路 由 条 目 较 少 。 说 明 网 络 互通 且 Rl1 和 R2 承担 较 
少 信息 。 


10.4.3 配置 OSPF 协议 


开放 最 短路 径 优先 协议 是 重要 的 路 由 选择 协议 ， 它 是 一 种 链 路 状态 路 由 选择 协议 ， 是 由 
Jnternet 工程 任务 组 开发 的 内 部 网 关 路 由 协议 ， 用 于 在 单一 自治 系统 内 决策 路 由 。 

链 路 是 路 由 器 接口 的 另 一 种 说 法 ,因此 ，OSPF 也 称 为 接口 状态 路 由 协议 。OSPF 通过 路 由 
器 之 间 通 告 网 络 接口 的 状态 来 建立 链 路 状态 数据 库 ， 生 成 最 短路 径 树 ， 每 个 OSPF 路 由 器 使 用 
这 些 最 短路 径 构造 路 由 表 。 下 面 分 别 介绍 OSPF 协议 的 相关 要 点 。 
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(1) 自治 系统 。 自 治 系统 包括 一 个 单独 管理 实体 下 所 控制 的 一 组 路 由 器 ，OSPF 是 内 部 网 
关 路 由 协议 ， 工 作 于 自治 系统 内 部 。 

(2) 链 路 状态 。 所 谓 链 路 状态 ， 是 指 路 由 器 接口 的 状态 ， 例 如 Up、Down、 卫 地址 、 网 络 
类 型 、 链 路 开销 以 及 路 由 器 和 它 邻 接 路 由 器 间 的 关系 。 链 路 状态 信息 通过 链 路 状态 通告 (Link 
State Advertisement，LSA) 扩散 到 网 络 上 的 每 台 路 由 器 ,每 台 路 由 器 根据 LSA 信息 建立 一 个 关 
于 网 络 的 拓扑 数据 库 。 

(3) 最 短路 径 优先 算法 。OSPF 协议 使 用 最 短路 径 优先 算法 ， 利 用 从 LSA 通告 得 来 的 信息 
计算 到 达 每 一 个 目标 网 络 的 最 短路 径 ， 以 自身 为 根 生 成 一 棵 树 ， 包 含 了 到 达 每 个 目的 网 络 的 完 

(4) 路 由 器 标识 。OSPF 的 路 由 标识 是 一 个 32 位 的 数字 ， 它 在 自治 系统 中 被 用 来 唯一 地 识 
别 路 由 器 。 默 认 使 用 最 高 回 送 地 址 ， 若 回 送 地 址 没有 被 配置 ， 则 使 用 物理 接口 上 最 高 的 他 地 址 
作为 路 由 器 标识 。 

(5) 邻居 和 邻接 。OSPF 在 相 邻 路 由 器 间 建 立 邻接 关系 ， 使 它们 交换 路 由 信息 。 邻 居 是 指 
共享 同一 网 络 的 路 由 器 ， 并 使 用 Hello 包 来 建立 和 维护 邻居 路 由 器 间 的 邻接 关系 。 

(6) 区 域 。 在 OSPF 网 络 中 使 用 区 域 (Area) 为 自治 系统 分 段 。OSPF 是 一 种 层次 化 的 路 
由 选择 协议 ， 区 域 0 是 一 个 OSPF 网 络 中 必须 具有 的 区 域 ， 也 称 为 主干 区 域 ， 其 他 所 有 区 域 要 
求 通过 区 域 0 互 连 到 一 起 。 

其 相关 命令 及 说 明 如 表 10-4 所 示 , 设计 图 10-25 所 示 的 网 络 拓扑 结构 图 来 配置 OSPF 协议 。 


# 配 置 Rl 路 由 器 接口 的 下 地 址 

<Huawei> system-view 

[Huawei] sysname R1 

[R1] interface gigabitethernet 0/0/1 
[R1-GigabitEthernet0/0/1] ip address 192.168.1.1 24 
[R1-GigabitEthernet0/0/1] quit 

[R1] interface gigabitethernet 0/0/2 
[R1-GigabitEthernet0/0/2] ip address 192.168.2.1 24 
[R1-GigabitEthernet0/0/2] quit 


# 在 路 由 器 RI 上 配置 OSPF 基本 功能 

[Rl] router id 1.1.1.1 

[R1] ospf 

[R1-ospf-1] area 0 

[R1-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255 
[R1-ospf-1-area-0.0.0.0] quit 
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[R1-ospf-1] area 1 

[R1-ospf-1-area-0.0.0.1] network 192.168.2.0 0.0.0.255 
[R1-ospf-1-area-0.0.0.1] quit 

[R1-ospf-1] quit 


表 10-4 ”OSPF 的 相关 命令 


命 令 功 能 


启动 OSPF 进程 ， 进 入 OSPF 视图 
创建 并 进入 OSPF 区 域 视图 
配置 区 域 所 包含 的 网 段 


ospflprocess-idlrouter-id rozxter-idlvpn-instance vpn-instance-name] 
area area-id 


network ip-address wildcard-mask 


display ospf peer 查看 OSPF 邻居 信息 
display ospf routing 查看 OSPF 路 由 信息 
R1 
cE0/0/2 / TF ceo/0/2 
192. 168. 2. 4 2. 168. 4. 1/24 
RB 
GE0/0, GED/0/2 
192. 168. 3 192. 168. 5. 1/24 


图 10-25 ”OSPF 协议 配置 实例 图 


# 路 由 器 R2、R3、R4、R5 和 R6 路 由 器 的 配置 与 Rl 相似 


# 在 路 由 器 Rl1 上 查看 路 由 表 


<R1>dis ip rout 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 13 Routes : 13 


Destination/Mask 
127.0.0.0/8 
127.0.0.1/32 

127.255.255.255/32 

192.168.1.0/24 
192.168.1.1/32 
192.168.1.255/32 
192.168.2.0/24 
192.168.2.1/32 
192.168.2.255/32 
192.168.3.0/24 
192.168.4.0/24 
192.168.5.0/24 
255.255.255.255/32 


Proto 

Direct 
Direct 
Direct 
Direct 
Direct 
Direct 
Direct 
Direct 
Direct 
OSPF 
OSPF 
OSPF 


Direct 


Pre 


© oo oo So So ooc 


S 


S 


0 


Cost Flags 
0 D 
0 D 
0 D 
0 D 
0 D 
0 D 
0 D 
0 D 
0 D 
2 D 
2 D 
3 D 
0 D 


NextHop 
127.0.0.1 
127.0.0.1 
127.0.0.1 
192.168.1.1 
127.0.0.1 
127.0.0.1 
192.168.2.1 
127.0.0.1 
127.0.0.1 
192.168.2.2 
192.168.1.2 
192.168.1.2 
127.0.0.1 
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Interface 
InLoopBack0 
InLoopBack0 
InLoopBack0 
GigabitEthernet0/0/1 
GigabitEthernet0/0/1 
GigabitEthernet0/0/1 
GigabitEthernet0/0/2 
GigabitEthernet0/0/2 
GigabitEthernet0/0/2 
GigabitEthermet0/0/2 
GigabitEthernet0/0/1 
GigabitEthermet0/0/1 
InLoopBack0 


从 路 由 器 Rl 的 路 由 表 上 可 以 看 出 ， 已 经 学 到 了 全 部 的 路 由 。 


# 在 路 由 器 RS 与 路 由 器 R6 之 间 的 连通 性 ， 在 带 R5 源 地 址 ping 命令 测试 
<R5>ping -a 192.168.3.2 192.168.5.2 
PING 192.168.5.2: 56 data bytes, press CTRL _C to break 
Reply from 192.168.5.2: bytes=56 Sequence=] ttl=251 time=30 ms 
Reply from 192.168.5.2: bytes=56 Sequence=2 ttl=251 time=50 ms 
Reply from 192.168.5.2: bytes=56 Sequence=3 ttl=251 time=40 ms 
Reply from 192.168.5.2: bytes=56 Sequence=4 ttl=251 time=30 ms 
Reply from 192.168.5.2: bytes=56 Sequence=5 ttl=251 time=40 ms 


--- 192.168.5.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 


round-trip min/avg/max = 30/38/50 ms 


# 查 看 路 由 器 Rl 的 OSPF 邻居 
<R1> display ospf peer 


OSPF Process 1 with Router ID 1.1.1.1 


Neighbors 
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Area 0.0.0.0 interface 192.168.1.1(GigabitEthernet0/0/1)'s neighbors 
Router ID: 2.2.2.2 Address: 192.168.1.2 

State: Full Mode:Nbris Master Priority: 1 

DR: 192.168.1.1 BDR: 192.168.1.2 MTU:0 

Dead timer due in 32 sec 

Retrans timer interval: 5 

Neighbor is up for 01:06:23 

Authentication Sequence: [ 0] 


Neighbors 
Area 0.0.0.1 interface 192.168.2.1(GigabitEthernet0/0/2)'s neighbors 
Router ID: 3.3.3.3 Address: 192.168.2.2 


State: Full Mode:Nbris Master Priority: 1 
DR: 192.168.2.1 BDR: 192.168.2.2 MTU:0 
Dead timer due in 28 sec 

Retrans timer interval: 5 


# 显 示 路 由 器 R1 的 OSPF 路 由 信息 


<R1>display ospf routing 
OSPF Process 1 with Router ID 1.1.1.1 
Routing Tables 

Routing for Network 

Destination Cost Type NextHop AdvRouter 
192.168.1.0/24 1 Transit 192.168.1.1 L111 
192.168.2.0/24 1 Transit 192.168.2.1 1.1.1.1 
192.168.3.0/24 2 Transit 192.168.2.2 3.33 
192.168.4.0/24 4 Inter-area 192.168.1.2 2 
192.168.5.0/24 3 Inter-area 192.168.1.2 2222 


Total Nets: 5 
Intra Area:3 Inter Area:2 ASE:0 NSSA:0 


10.4.4 配置 BGP 协议 


Area 
0.0.0.0 
0.0.0.1 
0.0.0.1 
0.0.0.0 
0.0.0.0 


边界 网 关 协 议 BGP (Border Gateway Protocol) 是 一 种 实现 自治 系统 AS (Autonomous 


System) 之 间 的 路 由 可 达 ， 并 选择 最 佳 路 由 的 距离 矢量 路 由 协议 。 它 具有 以 下 特点 。 


(1) 实现 自治 系统 间 通 信 网 络 的 信息 可 达 ，BGP 允许 一 个 AS 向 其 他 AS 通告 其 内 部 网 络 


的 可 达 性 信息 ， 或 者 是 通过 该 AS 可 达 的 其 他 网 络 的 路 由 信息 。 


(2) 多 个 BGP 路 由 器 之 间 的 协调 ， 如 果 在 一 个 自治 系统 内 部 有 多 个 路 由 器 分 别 使 用 BGP 
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与 其 他 自治 系统 中 对 等 路 由 器 进行 通信 ， 则 通过 协调 使 这 些 路 由 器 保持 路 由 信息 的 一 致 性 。 

(3) BGP 支持 基于 策略 的 路 径 选择 ， 可 以 为 域内 和 域 间 的 网 络 可 达 性 配置 不 同 的 策略 。 

(4) BGP 只 需要 在 启动 时 交换 一 次 完整 信息 ， 不 需要 在 所 有 路 由 更 新 报 文中 传送 完整 的 
路 由 数据 库 信 息 ， 后 续 的 路 由 更 新 报 文 只 通告 网 络 的 变化 信息 ， 避 免 网 络 变化 使 得 信息 量 大 幅 
增加 。 

(5) 在 BGP 通告 目的 网 络 的 可 达 性 信息 时 ， 除 了 处 理 指定 目的 网 络 的 下 一 跳 信息 之 外 ， 
通告 中 还 包括 了 通路 向 量 ， 即 去 往 该 目的 网 络 时 需要 经 过 的 AS 的 列表 ， 使 接受 者 能 够 清楚 了 
解 去 往 目 的 网 络 的 通路 信息 。 

除了 以 上 这 些 ，BGP 允许 发 送 方 把 路 由 信息 聚集 在 一 起 , 用 一 个 条 目 来 表示 多 个 相关 的 目 
的 网 络 ， 以 节约 网 络 带 宽 。 人 允许 接收 方 对 报 文 进 行 鉴别 ， 以 验证 发 送 方 的 身份 等 多 个 特点 。 

BGP 在 不 同 自治 系统 (AS) 之 间 进 行路 由 转发 ， 分 为 EBGP 和 IBGP 两 种 情况 。EBGP 外 
部 边界 网 关 协 议 ， 用 于 在 不 同 的 自治 系统 间 交 换 路 由 信息 。IBGP 内 部 边界 网 关 协 议 ， 用 于 向 
内 部 路 由 器 提供 更 多 信息 。 

其 相关 命令 及 说 明 如 表 10-5 所 示 ， 参 照 图 10-26 所 示 的 网 络 拓扑 图 配置 BGP 协议 使 全 网 
连通 ，R1、R2 之 间 建 立 EBGP 连接 ，R2、R3 和 R4 之 间 建 立 IBGP 连接 。 

# 配 置 各 接口 的 他 地 址 ， 配 置 R1I， 其 他 路 由 器 各 接口 的 了 P 地 址 与 此 配置 一 致 
<R1> system-view 
[R1] interface gigabitethernet 1/0/0 


[R1-GigabitEthernet1/0/0] ip address 172.16.60.1 
[Rl1-GigabitEthernet1/0/0] quit 


# 配 置 IBGP 连接 ， 配 置 R2、R3、R4 
[R2] bgp 65009 

[R2-bgp] router-id 2.2.2.2 

[R2-bgp] peer 9.1.1.2 as-number 65009 
[R2-bgp] peer 9.1.3.2 as-number 65009 


[R3] bgp 65009 

[R3-bgp] router-id 3.3.3.3 

[R3-bgp] peer 9.1.3.1 as-number 65009 
[R3-bgp] peer 9.1.2.2 as-number 65009 
[R3-bgp] quit 


表 10-5 BGP 的 相关 命令 


命 令 功 能 
bgp{as-number-plainlas-number-dot} 启动 BGP， 指 定 本 地 AS 编号 ， 并 进入 BGP 视图 


router-id ipv4-address 配置 BGP 的 Router ID 
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续 表 
命令 功 能 
CA 创建 BGP 对 等 体 
number-plainlas-number-dot} 
ipv4-family {unicastlmulticast} 进入 IPv4 地 址 族 视图 


管理 IP 所 在 的 网 段 路 由 ， 并 引入 RIP 路 由 表 


import-route direct 


172. 16. 30.2/24 R3 | 
GE2/0/0 


ey | 
6E3/0/0 172. 16. 20. 1/24 | 


GE2/0/0 10 1 
59.74. 112. 2/24 


GE2/0/0 


R1 74.112.1/2 


GE1/0/0 
172. 16. 60. 1/24 


GE1/0/0 
172. 16. 10. 2/2 


图 10-26 ”BGP 网 络 实例 图 


[R4] bgp 65009 
[R4-bgp] router-id 4.4.4.4 
[R4-bgp] peer 9.1.1.1 as-number 65009 
[R4-bgp] peer 9.1.2.1 as-number 65009 
[R4-bgp] quit 


# 配 置 EBGP 连接 ， 配 置 R1I、R2 

[R1] bgp 65008 

[Rl1-bgp] router-id 1.1.1.1 

[Rl1-bgp] peer 59.74.112.1 as-number 65009 


[R2-bgp] peer 59.74.112.2 as-number 65008 


# 查 看 BGP 对 等 体 的 连接 状态 
[R2-bgp] display bgp peer 
BGP local router ID : 2.2.2.2 
Local AS number : 65009 
Total number of peers : 3 了 Peers in established state : 3 
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Peer AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv 
172.16.10.2 4 65009 49 62 0 00:44:58 Established 0 
172.16.30.2 465009 56 56 0 00:40:54 Established 0 
59.74.112.2 465008 49 65 0 00:44:03 Established 1 
可 以 看 出 ，RouterB 到 其 他 路 由 器 的 BGP 连接 均 已 建立 。 


# 配 置 R1 发 布 路 由 172.16.60.0/24 
[Rl1-bgp] ipv4-family unicast 


[R1-bgp-af-ipv4] network 172.16.60.0 255.255.255.0 


[R1-bgp-af-ipv4] quit 


# 查 看 R1 路 由 表 信息 
[Rl1-bgp] display bgp routing-table 
BGP Local router IDis 1.1.1.1 


Status codes: * - valid, > - best, d - damped, 


h - history, 


Total Number of Routes: 1 
Network 
*> 172.16.60.0 


# 查 看 R2 的 路 由 表 
[R2-bgp] display bgp routing-table 
BGP Local router ID is 2.2.2.2 


NextHop 
0.0.0.0 


i- internal, s - suppressed, S - Stale 
Origin :1-IGPe- 


EG?P, ? - incomplete 


MED LocPrf 。 PrefVal 
0 0 


Status codes: * - valid, > - best, d - damped, 


h - history, 


Total Number of Routes: 1 
Network 
*#> 172.16.60.0 


# 查 看 R3 的 路 由 表 
[R3] display bgp routing-table 
BGP Local router ID is 3.3.3.3 


NextHop 
59.74.112.2 0 0 


1- internal, s - suppressed, S - Stale 
Origin :i- IGP,e- 


EGP, ? - incomplete 


MED LocPrf PrefVal 


Status codes: * - valid, > - best, d - damped. 


h - history, 


Total Number of Routes: 1 
Network 
1 172.16.60.0 


NextHop 
59.74.112.2 0 


i- internal, s - suppressed, S - Stale 
Origin :1-IGPe- 


EGP, ? - incomplete 


MED 


Path/Ogn 


Path/Ogn 
65008i 


EA 
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从 路 由 表 可 以 看 出 ，R3 虽然 学 到 了 AS65008 中 的 172.16.60.0 的 路 由 ， 但 因为 下 一 跳 
59.74.112.2 不 可 达 ， 所 以 不 是 有 效 路 由 。 


# 配置 BGP 引入 直 连 路 由 ， 配 置 R2 
[R2-bgp] ipv4-family unicast 
[R2-bgp-af-ipv4] import-route direct 


# 查 看 R1 的 BGP 路 由 表 
[R1-bsgp] display bgp routing-table 
BGP Local router ID is 1.1.1.1 
Status codes: * - valid, > - best, d - damped, 
h-history, i-internal, s - suppressed,S - Stale 
Origin : 1- IGP e - EGP., ? - incomplete 
Total Number of Routes: 4 


Network NextHop MED LocPrf PrefVal Path/Ogn 
*> 172.16.60.0 0.0.0.0 0 0 1 
*> ”172.16.10.0/24 59.74.112.1 0 0 65009? 
*> ”172.16.30.0/24 59.74.112.1 0 0 65009? 
59.74.112.0 59.74.112.1 0 0 65009? 


# 查 看 R3 的 路 由 表 
[R3] display bgp routing-table 
BGP Local router ID is 3.3.3.3 
Status codes: * - valid, > - best, d - damped, 
h - history，i- internal, s - suppressed,S - Stale 
Origin : 1- IJGP e - EGP, ? - incomplete 
Total Number of Routes: 4 


Network NextHop MED LocPrf PrefVal Path/Ogn 
*>1 172.16.60.0 59.74.112.2 0 100 0 650081 
*>1 172.16.10.0/24 172.16.30.1 0 100 0 ? 
i 172.16.30.0/24 172.16.30.1 0 100 0 和 
*>1 59.74.112.0 172.16.30.1 0 100 0 ? 
可 以 看 出 ， 到 172.16.60.0 的 路 由 变 为 有 效 路 由 ， 下 一 跳 为 Rl 的 地 址 。 
# 使 用 Ping 进行 网 络 联通 性 检查 


[R3] ping 172.16.60.1 
PING 172.16.60.1: 56 data bytes, press CTRL C to break 
Reply from 172.16.60.1: bytes=56 Sequence=l ttl=254 time=23ms 
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Reply from 172.16.60.1: bytes=56 Sequence=2 ttl=254 time=56ms 
Reply from 172.16.60.1: bytes=56 Sequence=3 ttl=254 time=36ms 
Reply from 172.16.60.1: bytes=56 Sequence=4 ttt=254 time=14ms 
Reply from 172.16.60.1: bytes=56 Sequence=5 ttl=254 time=46ms 


---172.16.60.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 14/35/56 ms 


10.5 ”配置 广域网 接 入 


如 果 要 将 网 络 与 其 他 远程 网 络 连 接 起 来 ， 有 时 要 用 到 广域网 (WAN) 接 入 服务 。 本 节 结 合 
具体 的 PPP、 帧 中 继 FR 和 ISDN BRI 连接 接 入 实例 来 学 习 广 域 网 接 入 的 配置 方法 和 技巧 。 


10.5.1 配置 PPP 和 DCC 


点 对 点 协议 是 作为 在 点 对 点 链 路 上 进行 P 通信 的 封装 协议 而 被 开发 出 来 的 。PPP 定义 了 
全 地 址 的 分 配 和 管理 、 异 步 和 面向 位 的 同步 封装 、 网 络 协议 复 用 、 链 路 配置 、 链 路 质量 测试 和 
错误 检测 等 标准 ， 以 及 网 络 层 地 址 协议 和 数据 压缩 协议 等 协议 标准 。PPP 通过 可 扩展 的 链 路 协 
议和 网 络 控制 协议 (NCP) 来 实现 上 述 功能 。 

PPP 具有 多 协议 支持 的 特点 ， 可 以 支持 耳 、IPX 和 DECnet 等 第 三 层 协议 。PPP 提供 了 安 
全 认证 机 制 ， 这 主要 是 通过 PAP (口令 认证 协议 ) 和 CHAP (挑战 握手 协议 ) 来 实现 的 。PAP 
和 CHAP 被 用 来 认证 是 否 允 许 对 端 设备 进行 拨号 连接 。 

多 链 路 PPP 是 PPP 的 另 一 项 功能 , 它 允 许 在 路 由 器 和 路 由 器 之 间或 路 由 器 和 拨号 的 PC 之 
间 建 立 多 条 链 路 , 通信 量 在 这 些 链 路 之 间 进 行 负载 均衡 , 从 而 提高 了 可 用 带宽 和 链 路 的 可 靠 性 。 

按 需 拨号 路 由 (Dial Control Center，DCC) 是 利用 拨号 链 路 实现 网 络 间 互 连 的 一 种 常用 
技术 。 其 主要 功能 是 将 数据 包 从 被 拨号 的 接口 进行 路 由 ; 决定 何 种 数据 包 可 以 触发 拨号 ;触发 
拨号 ; 决定 什么 时 候 终 止 连接 。DCC 技术 和 PPP 技术 一 样 对 于 ISDN 的 配置 是 非常 重要 的 , 在 
实际 应 用 中 ISDN、PPP 和 DCC 这 三 项 技术 经 常 综合 使 用 。 

下 面 结合 实例 来 研究 PPP 认证 、DCC 技术 的 配置 ， 更 深入 地 了 解 拨号 网 络 的 配置 技能 。 

结合 图 10-27 所 示 的 拓扑 结构 配置 路 由 器 Rl1 和 R2， 实 现 从 总 部 到 分 支 机 构 的 网 络 连通 ， 
同时 提供 拨号 连接 的 安全 性 。 


a 


so 让 
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MP-Group0/0/1 


图 10-27 


多 链 路 PPP 组 网 图 
相关 命令 及 说 明 如 表 10-6 所 示 。 
表 10-6 PPP 的 相关 配置 命令 
命 令 


interface mp-group 
local-user user-name password 
local-user user-name service-type ppp 


PPP authentication-mode {chaplpap}[ [ call-in ] domain domain-name ] 


authentication-scheme scheme-name 
domain domain-name 


ppp chap user username 


ppp mp mp-group number 


# 在 R1 上 创建 并 配置 多 链 路 MP-Group 
<Huawei> system-view 

[Huawei] sysname R1 

[R1] interface mp-group 0/0/1 
[R1-Mp-group0/0/1] ip address 10.10.10.9 30 
[R1-Mp-group0/0/1] quit 


Seriall/0/1 


MP-Group0/0/1 
10. 10. 10. 10/30 
Seriall/0/0@ 


功 能 
创建 MP-Group 接口 并 进入 
MP-Group 接口 视图 
创建 本 地 账号 ， 并 配置 本 地 账号 
的 登录 密码 
配置 本 地 用 户 使 用 的 服务 类 型 为 
PPP 
配置 本 端 设备 对 对 端 设备 的 认证 
方式 
建立 认证 方案 
配置 默认 域 
配置 采用 CHAP 认证 时 认证 方 的 
用 户 名 
物理 接口 加 入 指定 的 组 


# 配 置物 理 接口 Seriall/0/0、Seriall/0/1 加 入 MP-Group， 并 配置 接口 采用 CHAP 认证 , 配置 设备 双向 
认证 方 时 需要 配置 的 本 地 用 户 和 作为 被 认证 方 时 需要 的 CHAP 认证 用 户 名 和 密码 


[R1] aaa 
[R1-aaa] local-user userb password 


Please configure the login password (8-128) 


It is recommended that the password consist of at least 2 types of characters, including lowercase letters, 
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Uppercase letters, numerals and special characters. 
了 Please enter password: 
了 Please confirm password: 
Info: Add a new user. 
Warning: The new user supports all access modes. The management user access modes such as Telnet, SSH, 
FTP, HITP, and Terminal have security risks. You are advised to configure the required access modes only. 
[R1-aaa] local-user userb service-type ppp 
[R1-aaal] authentication-scheme system a 
[R1-aaa-authen-system a] authentication-mode local 
[R1-aaa-authen-system al] quit 
[Rl1-aaa] domain system 
[Rl1-aaa-domain-system] authentication-scheme system a 
[Rl1-aaa-domain-system] quit 
[R1-aaal] quit 
[R1] interface serial 1/0/0 
[R1-Seriall/0/0] ppp authentication-mode chap domain system 
[R1-Seriall/0/0] ppp chap user usera 
[R1-Seriall/0/0] ppp chap password cipher usera@123 
[R1-Seriall/0/0] ppp mp mp-group 0/0/1 
[R1-Seriall/0/0] quit 
[R1] interface serial 1/0/1 
[R1-Seriall/0/1] ppp authentication-mode chap domain system 
[R1-Seriall/0/1] ppp chap user usera 
[R1-Seriall/0/1] ppp chap password cipher usera@123 
[R1-Seriall/0/1] ppp mp mp-group 0/0/1 
[R1-Seriall/0/1] quit 


# 为 了 保证 配置 生效 ， 重 启 RouterA 上 的 MP 成 员 接口 
[R1] interface serial 1/0/0 
[R1-Seriall/0/0] restart 
[R1-Seriall/0/0] quit 
[R1] interface serial 1/0/1 
[R1-Seriall/0/1] restart 
[R1-Seriall/0/1] quit 


# 在 RouterA 上 执行 命令 display ppp mp 查看 绑 定 效果 
[R1] display ppp mp interface Mp-group 0/0/1 
Mp-group is Mp-group0/0/1 
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一 一 Sublinks status begio 一 一 
Seriall/0/0 physical UPprotocol UP 
Seriall/0/1 physical UPprotocol UP 
一 -一 一 Sublinks status end: 
Bundle Multilink, 2 members, slot 0, Master link is Mp-group0/0/1 
0 lost fragments, 0 reordered, 0 unassigned, 
sequence 0/0 revd/sent 
The bundled sub channels are: 
Seriall/0/0 
Seriall/0/1 


# 根 据 显 示 信息 可 以 看 出 MP 子 链 路 的 物理 状态 和 协议 状态 、 子 链 路 数 及 MP 的 成 员 等 信息 


# 在 R1 上 执行 命令 display interface mp-group 查看 绑 定 效果 
[R1] display interface mp-group 0/0/1 
Mp-group0/0/1 current state : UP 
Line protocol current state : UP 
Last line protocol up time : 2016-07-03 13:33:26 
Description:HUAWEI AR Series, Mp-group0/0/1 Interface 
Route Port,The Maximum Transmit Unit is 1500 
Internet Address is 10.10.10.9/30 
Link layer protocol is PPP 
LCP opened, MP opened, IPCP opened 
Physical is MP, baudrate is 64000 bps 
Current system time: 2016-07-03 13:36:50 
Last 300 seconds input rate 0 bytes/sec, 0 packets/sec 
Last 300 seconds output rate 0 bytes/sec, 0 packets/sec 
Realtime 0 seconds input rate 0 bytes/sec, 0 packets/sec 
Realtime 0 seconds output rate 0 bytes/sec, 0 packets/sec 
6 packets input, 84 bytes, 0 drops 
6 packets output, 84 bytes, 0 drops 
Input bandwidth utilization  : 0.00% 
Output bandwidth utilization : 0.00% 


# 根 据 显示 信息 可 以 看 出 MP-Group 接口 的 状态 为 Up, 链 路 层 协 议 为 PPP,LCP 协商 ,MP 协商 及 IPCP 
协商 状态 为 Opend 等 信息 


在 R2 上 的 配置 命令 类 似 ， 通 过 在 R2 上 ping 对 端 可 以 检测 多 链 路 PPP 组 网 是 否 联通 。 
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10.5.2 ”配置 帧 中 继 


帧 中 继 是 一 种 高 性 能 的 WAN 协议 ， 运 行 在 OSI 参考 模型 的 物理 层 和 数据 链 路 层 。 它 是 一 
种 数据 包 交换 技术 ， 是 X.25 的 简化 版 本 。 它 省 略 了 X.25 的 一 些 强健 功能 ， 如 提供 窗口 技术 和 
数据 重 发 技术 ， 而 是 依靠 高 层 协议 提供 纠 错 功能 ,这 是 因为 帧 中 继 工作 在 更 好 的 WAN 设备 上 ， 
这 些 设 备 较 之 X.25 的 WAN 设备 具有 更 可 靠 的 连接 服务 和 更 高 的 可 靠 性 ， 它 严格 地 对 应 于 OSI 
参考 模型 的 最 低 两 层 ， 而 X.25 还 提供 第 三 层 的 服务 ， 所 以 帧 中 继 比 X.25 具有 更 高 的 性 能 和 更 
有 效 的 传输 效率 。 

帧 中 继 广 域 网 的 设备 分 为 DTE 和 DCE。DTE 表示 数据 终端 设备 , DCE 表示 数据 通信 设备 ， 
用 于 将 用 户 DTE 设备 接 入 网 络 。 

帧 中 继 技术 提供 面向 连接 的 数据 链 路 层 通 信 , 在 每 对 设备 之 间 都 存在 一 条 定义 好 的 通信 链 
路 ， 且 该 链 路 有 一 个 链 路 识别 码 。 这 种 服务 通过 帧 中 继 虚 电路 实现 ， 每 个 帧 中 继 虚 电路 都 以 数 
据 链 路 识别 码 (DLCI) 标识 自己 。 DLCI 的 值 一 般 由 帧 中 继 服务 提供 商 指定 。 帧 中 继 既 支持 PVC 
也 支持 SVC。 

其 相关 命令 及 说 明 如 表 10-7 所 示 。 


表 10-7 帧 中 继 的 相关 配置 命令 


命 令 功 能 
link-protocol 全 设置 Frame Relay 封装 
fr interface-type dte 设置 Frame Relay 接口 类 型 DTE 
i dlci dlci 配置 帧 中 继 链 路 的 数据 连接 标识 符 
frmap ip 配置 本 端 DLCI 到 对 端 瑟 地址 的 静态 映射 


如 图 10-28 进行 帧 中 继 瑟 业务 组 网 ， 实 现 路 由 器 Rl1 和 R2 的 联通 。 
# 配 置 路 由 器 R1， 接 口 封装 为 帧 中 继 链 路 协议 


<Huawei> system-view 

[Huawei] sysname R1 

[R1] interface serial 1/0/0 

[R1-Seriall/0/0] link-protocol fr 

Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y 
[R1-Seriall/0/0] fr interface-type dte 

[R1-Seriall/0/0] quit 
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DCE2 


Serial 1/0/0 


10.10.10.9/30 
DLCI=70 DCEI 


Serial1/0/0 


帧 中 继 网 络 


10.10.10.9/30 


RI1 DLCI=70 


图 10-28 帧 中 继 瑟 业务 组 网 


# 配 置 静态 地 址 映射 ， 在 Rl 的 接口 上 配置 DLCI 虚 电 路 号 和 直 连 的 DCE1 设备 他 地 址 的 静态 地 址 
映射 

[R1] interface serial 1/0/0.1 

[R1-Serial1/0/0.1] fr dlci 70 

[R1-fr-dlci-Serial1/0/0.1-70] quit 

[R1-Seriall/0/0.1] ip address 10.10.10.9 30 

[R1-Seriall/0/0.1] fr map ip 10.10.10.10 70 

[R1-Seriall/0/0.1] quit 


在 R2 上 的 配置 命令 类 似 ， 通 过 在 R2 上 ping 对 端 可 以 检测 帧 中 继 组 网 是 否 联通 。 
10.5.3 配置 ISDN 


综合 业务 数字 网 (Integrated Service Digital Network，ISDN) 是 电话 网 络 数字 化 的 结果 ， 
由 数字 电话 和 数据 传输 服务 两 部 分 组 成 ， 可 以 在 ISDN 上 传输 声音 、 数 据 和 视频 等 多 种 信息 。 
ISDN 组 件 包括 终端 、 终 端 适配器 、 网 络 终端 设备 、 线 路 终端 设备 和 交换 终端 设备 等 。 

ISDN 提供 了 两 种 类 型 的 访问 接口 ， 即 基本 速率 接口 (Basic Rate Interface，BRI) 和 主要 
速率 接口 (Primary Rate Interface，PRI)。ISDN BRI 提供 两 个 B 信道 和 一 个 D 信道 (2B+D)。 
ISDN 的 B 信道 为 承载 信道 ， 其 速率 为 64kbps， 用 于 传输 用 户 数据 ，D 信道 速率 为 16kbps， 主 
要 用 于 传输 控制 信息 。PRI 提供 30 个 B 信道 和 一 个 D 信道 (30B+D)， 其 B 信道 和 DD 信道 的 
速率 均 为 64kbps。 

其 相关 命令 及 说 明 如 表 10-8 所 示 。 


表 10-8 ISDN 的 相关 配置 命令 


命 令 功 能 
dialer-mle 进入 Dialer-rule 视图 


配置 某 个 拨号 访问 组 对 应 的 
拨号 访问 控制 列表 , 指定 引发 
lpermit} lipv6 {denylpermirt}} Doi 叫 六 条 件 由 

dialer enable-circular 使 能 轮 询 DCC 功能 

interface bri interface-number 进入 指定 的 ISDN BRI 接口 


dialer-rule dialer-rule-number {acl{acl-numberlname acl-name} lip{deny 
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命令 功 能 
查看 ISDN 接口 的 当前 呼 0 
display isdn call-info[interface interface-type interface-number] ee 接口 的 当前 呼叫 
isdn statistics {clearlcontinueldisplay[flow]lstartlstop} ISDN 接口 信息 统计 


下 面 通过 一 个 具体 实例 来 学 习 两 台 路 由 器 通过 ISDN 线路 进行 连接 时 的 最 基本 配置 。 
图 10-29 所 示 的 路 由 器 R1 和 R2 各 连接 一 条 ISDN BRI 线路 , 路 由 器 的 BRI 接口 通过 NTI1 连接 
到 ISDN 上 。 各 路 由 器 BRI 接口 的 卫 地 址 和 所 连接 的 ISDN 号 如 图 10-29 中 所 标 ， 通 过 对 两 个 
路 由 器 的 配置 达到 R1 和 R2 互通 的 目的 。 


BRI1/0/0 BRI1/0/0 
10. 10. 10. 9/30 10. 10. 10. 10/30, 
RQ DLCI=70 DLCI=90 
NU 
\ 800010 800011 
NS 


R1 


图 10-29 ISDN 配置 实例 


# 配 置 R1， 配置 拨号 控制 列表 
<Huawei> system-view 

[Huawei] sysname R1 

[R1] dialer-mle 

[R1-dialer-rle] dialer-rule 1 ip permit 
[R1-dialer-rule] quit 


# 配 置 帧 中 继 地 址 映射 

[R1] interface dialer 0 

[R1-Dialer0] link-protocol fr 

Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y 
[R1-Dialer0] ip address 10.10.10.9 30 

[R1-Dialer0] fr dlci 70 

[R1-fr-dlci-Dialer0-70] quit 

[R1-Dialer0] ft map ip 10.10.10.10 70 
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# 配 置 拨号 控制 列表 关联 接口 Dialer0 
[R1-Dialer0] dialer-group 1 


# 使 能 轮 询 DCC 
[R1-Dialer0] dialer enable-circular 


# 配 置 Rl 向 R2 发 起 呼叫 
[R1-Dialer0] dialer number 800011 
[R1-Dialer0] quit 


# 了 配置 物理 接口 并 将 物理 接口 加 入 拨号 循环 组 (Dialer Circular Group) 

[R1] interface bri 1/0/0 

[R1/0/0] link-protocol fr 

Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y 
[R1-Bri1/0/0] dialer circular-group 0 


RouterB 的 配置 和 RouterA 类 似 ， 在 配置 完成 后 ， 在 RI 上 Ping R2 的 瑟 地 址 来 验证 拨号 

用 户 还 可 以 使 用 命令 display isdn call-info [ interface interface-type interface-number ] 查 看 指 
定 接口 的 当前 呼叫 状态 ， 使 用 命令 isdn statistics 统计 ISDN 接口 上 的 收发 消息 并 查看 统计 的 
结果 。 


10.6 IPSec 配置 与 测试 


10.6.1 IPSec 实现 的 工作 流程 


IPSec 实现 的 VPN 主要 多 种 方式 , 本 节 介绍 通过 IKE 协商 方式 建立 IPSec 隧道 的 配置 .IKE 
动态 协商 方式 是 由 ACL 来 指定 要 保护 的 数据 流 范围 ， 配 置 安全 策略 并 将 安全 策略 绑 定 在 实际 
的 接口 上 来 完成 PSec 的 配置 。 具 体 方法 是 通过 ACL 规则 筛选 出 需要 进入 IPSec 隧道 的 报 文 ， 
规则 允许 〈permit) 的 报 文 将 被 保护 ， 规 则 拒绝 (deny) 的 报 文 将 不 被 保护 。 这 种 方式 可 以 利 
用 ACL 配置 的 灵活 性 ， 根 据 卫 地 址 、 端 口 、 协 议 类 型 等 对 报 文 进行 过 滤 进 而 灵活 制定 安全 策 
略 ， 对 于 中 大 型 网 络 中 ， 一 般 使 用 IKE 协商 建立 SA。 


1. 为 IPSec 做 准备 
在 采用 ACL 方式 建立 PSec 隧道 之 前 , 实现 源 接口 和 目的 接口 之 间 路 由 可 达 。 如 果 要 配置 
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基于 ACL 的 GRE over IPSec， 则 需要 创建 一 个 Tunnel 接口 并 配置 该 接口 为 GRE 类 型 ， 配 置 源 
下 、 目 的 中 和 下 地 址 。 其 中 , 源 正 为 网 关 出 接口 的 瑟 ， 目的 卫 为 对 端 网 关 出 接口 的 正 地 址 ， 
并 将 Tunnel 接口 加 入 安全 区 域 。 


2 定义 需要 保护 的 数据 


IPSec 能 够 对 一 个 或 多 个 数据 流 进行 安全 保护 , ACL 方式 建立 IPSec 隧道 采用 ACL 来 指定 
需要 IPSec 保护 的 数据 流 。 实 际 应 用 中 ， 首 先 需 要 通过 配置 ACL 的 规则 定义 数据 流 范 围 ， 再 在 
IPSec 安全 策略 中 引用 该 ACL， 从 而 起 到 保护 该 数据 流 的 作用 。 一 个 PSec 安全 策略 中 只 能 引 
用 一 个 ACL。 采 用 ACL 方式 建立 IPSec 隧道 配置 流程 如 下 。 

(1) 在 两 个 网 关 R1 和 R2 之 间 建 立 点 到 点 的 IPSec 隧道 ， 假 设 R1 需要 保护 的 网 段 为 
10.10.10.0/24，R2 需要 保护 的 网 段 为 172.16.10.0/24。 

R1 的 配置 如 下 。 


[R1] acl 3001 
[R1-acl-adv-3001] rule permit ip source 10.10.10.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 


R2 的 配置 如 下 。 


[R2] acl 3001 
[R2-acl-adv-3001] rule permit ip source 172.16.10.0 0.0.0.255 destination 10.10.10.0 0.0.0.255 


(2) 如 果 网 关 下 有 多 条 数据 流 需要 IPSec 保护 ， 相 关 的 ACL 配置 如 下 所 示 。 
Rl 的 配置 如 下 。 


[R1] ip address-set soul type object 
[R1-objectraddress-set-soul] address 0 10.10.10.0 mask 24 
[R1-objectraddress-set-soul] address 1 10.10.20.0 mask 24 
[R1-objectraddress-set-soul] address 2 10.10.30.0 mask 24 
[R1-objectraddress-set-soul] quit 

[R1] ip address-set denl type object 
[Rl1-object-address-set-den1] address 0 172.16.10.0 mask 24 
[BR1-obiectraddress-set-den1] address 1 172.16.20.0 mask 24 
[R1-obiectraddress-set-den1] address 2 172.16.30.0 mask 24 
[Rl1-object-address-set-den1] quit 

[R1] acl 3001 

[Rl1-acl-adv-3001] mle permit ip source address-set soul 
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[Rl1-acl-adv-3001] mle permit ip destination address-set denl 
R2 的 配置 如 下 。 


[R2] ip address-set soul type object 
[R2-object-address-set-soul] address 0 172.16.10.0 mask 24 
[R2-object-address-set-soul] address 1 172.16.20.0 mask 24 
[R2-object-address-set-soul] address 2 172.16.30.0 mask 24 
[R2-object-address-set-soul] quit 

[R2] ip address-set denl type object 
[R2-object-address-set-den1] address 0 10.10.10.0 mask 24 
[R2-object-address-set-den1] address 1 10.10.20.0 mask 24 
[R2-object-address-set-den1] address 2 10.10.30.0 mask 24 
[R2-object-address-set-den1] quit 

[R2] acl 3001 

[R2-acl-adv-3001] rule permit ip source address-set soul 
[R2-acl-adv-3001] rule permit ip destination address-set denl 


(3) 当 采 用 ACL 方式 建立 GRE over IPSec 隧道 时 ，IPSec 保护 的 数据 流 为 GRE 封装 后 的 


数据 流 。ACL 的 源 和 目的 网 段 为 GRE 隧道 的 源 端 地 址 和 GRE 隧道 的 目的 端 地 址 ， 即 隧道 两 端 
网 关 接 口 地 址 。 假 设 Rl 地 址 为 172.16.10.1/24，R2 地 址 为 172.16.20.1/24。 


R1 的 配置 如 下 


[R1] acl number 3001 
[R1-acl-adv-3001] rule permit ip source172.16.10.1 0 destination 172.16.20.10 
[R1l-acl-adv-3001] quit 


R2 的 配置 如 下 


[R2] acl number 3001 
[R2-acl-adv-3001] mle permit ip source 172.16.20.1 0 destination 172.16.10.1 0 
[R2-acl-adv-3001] quit 


3. 配置 IPSec 安全 提议 


IPSec 安全 提议 是 安全 策略 或 者 安全 框架 的 一 个 组 成 部 分 ， 它 包括 IPSec 使 用 的 安全 协议 、 


认证 /加 密 算法 以 及 数据 的 封装 模式 ， 定 义 了 卫 Sec 的 保护 方法 ， 为 IPSec 协商 SA 提供 各 种 安 
全 参数 。IPSec 隧道 两 端 设备 需要 配置 相同 的 安全 参数 。 


(1) 通过 命令 ipsec proposal proposal-name， 创 建 PSec 安全 提议 并 进入 IPSec 安全 提议 


视图 。 
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(2) 通过 命令 transform{fahlesplah-esp}， 配 置 安全 协议 ， 默 认 情况 下 ，IPSec 安全 提议 采用 
ESP 协议 。 

(3) 配置 安全 协议 的 认证 /加 密 算法 。 例 如 通过 命令 ah authentication-algorithm{md5|shal| 
sha2-256|sha2-384|sha2-512lsm3}， 设 置 AH 协议 采用 的 认证 算法 。 默 认 情 况 下 ，AH 协议 采用 
SHA2-256 认证 算法 。 

(4) 通过 命令 encapsulation-mode {transportltunnel}， 选 择 安全 协议 对 数据 的 封装 模式 ， 默 
认 情 况 下 ， 安 全 协议 对 数据 的 封装 模式 采用 隧道 模式 。 

4. 配置 IPSec 安全 策略 


IPSec 安全 策略 是 创建 SA 的 前 提 ， 它 规定 了 对 哪些 数据 流 采 用 哪 种 保护 方法 。 配 置 PSec 
安全 策略 时 ， 通 过 引用 ACL 和 IPSec 安全 提议 ， 将 ACL 定义 的 数据 流 和 IPSec 安全 提议 定义 
的 保护 方法 关联 起 来 ,并 可 以 指定 SA 的 协商 方式 、IPSec 隧道 的 起 点 和 终点 、 所 需要 的 密 钥 和 
SA 的 生存 周期 等 。 一 个 IPSec 安全 策略 由 名 称 和 序号 共同 唯一 确定 ， 相 同名 称 的 IPSec 安全 策 
略为 一 个 IPSec 安全 策略 组 。 

ISAKMP 方式 IPSec 安全 策略 适用 于 对 端 瑟 地 址 固定 的 场景 , ISAKMP 方式 IPSec 安全 策 
略 直接 在 IPSec 安全 策略 视图 中 定义 需要 协商 的 各 参数 ， 协 商 发 起 方 和 响应 方 参数 必须 配置 相 
同 。 配置 了 ISAKMP 方式 IPSec 安全 策略 的 一 端 可 以 主动 发 起 协商 。 

(1) 通过 命令 ipsec policy policy-name seq-number isakmp， 创 建 I SAKMP 方式 IPSec 安全 
策略 ， 并 进入 ISAKMP 方式 IPSec 安全 策略 视图 ， 默 认 情 况 下 ， 系 统 不 存在 IPSec 安全 策略 。 

(2) 通过 命令 security acl acl-number [ dynamic-source ]， 在 IPSec 安全 策略 中 引用 ACL， 
默认 情况 下 ，IPSec 安全 策略 没有 引用 ACL。 

(3) 通过 命令 proposal proposal-name， 在 IPSec 安全 策略 中 引用 IPSec 安全 提议 ， 默 认 情 
况 下 ，IPSec 安全 策略 没有 引用 IPSec 安全 提议 。 

(4) 通过 命令 ike-peer peer-name， 在 Sec 安全 策略 中 引用 IKE 对 等 设备 ， 默 认 情况 下 ， 
IPSec 安全 策略 没有 引用 IKE。 


S. 接口 上 应 用 IPSec 安全 策略 组 


为 使 接口 能 对 数据 流 进 行 PSec 保护 ， 需 要 在 该 接口 上 应 用 一 个 IPSec 安全 策略 组 。 当 取 
消 IPSece 安全 策略 组 在 接口 上 的 应 用 后 ， 此 接口 便 不 再 具有 IPSec 的 保护 功能 。 IPSec 安全 策略 
组 是 所 有 具有 相同 名 称 、 不 同 序号 的 人 PSec 安全 策略 的 集合 。 

接口 应 用 IPSec 安全 策略 组 的 配置 原则 如 下 。 

(1) IPSec 安全 策略 应 用 到 的 接口 一 定 是 建立 隧道 的 接口 ， 且 该 接口 一 定 是 到 对 端 私 网 路 
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由 的 出 接口 。 如 果 将 人 PSec 安全 策略 应 用 到 其 他 接口 会 导致 VPN 业务 不 通 。 
(2) 一 个 接口 只 能 应 用 一 个 IPSec 安全 策略 组 ， 一 个 IPSec 安全 策略 组 也 只 能 应 用 到 一 个 


接口 上 。 
(3) 当 IPSec 安全 策略 组 应 用 于 接口 后 , 不 能 修改 该 安全 策略 组 下 安全 策略 的 引用 的 ACL、 
引用 的 IKE。 


6. 测试 和 验证 IPSec 

该 任务 涉及 使 用 display ipsec global config、ping 和 相关 的 命令 来 测试 和 验证 IPSec 加 密 工 
作 是 否 正 常 ， 并 为 之 排除 故障 。 
10.6.2 IPSec 配置 举例 


某 公司 由 总 部 和 分 支 机 构 构 成 ， 通 过 IPSec 实现 网 络 安 全 ， 具 体 网 络 拓 扑 结 构 和 主 路 由 器 
及 分 支 路 由 器 上 的 配置 如 下 。 


1. 网 络 拓扑 
网 络 结构 如 图 10-30 所 示 。 


168.1.1.0 


| 


168.1.1.1 分 支 机 构 172.22.2.100 


172.22.1.100 总 部 
路 由 器 路 由 器 
总 部 局 域 网 机 构 后 域 
172.22.1.0)24 1 用 9 


图 10-30 网络 结 构图 


2. 配置 与 测试 
两 路 由 器 之 间 的 地 址 分 配 如 表 10-9 所 示 〔 该 表 可 用 于 多 种 配置 使 用 〉。 


表 10-9 路 由 器 地 址 分 配 表 


总 部 分 支 机构 
172.22.1.0 172.22.2.0 
168.1.1.0 167.1.1.0 


内 部 网 段 网 
因特网 段 网 


业 |u 
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续 表 
分 支 机 构 
路 由 器 内 部 端口 P 地 址 172.22.1.100 172.22.2.100 
路 由 器 Intemet 端口 人 P 地 址 168.1.1.1 167.1.1.1 
路 由 器 串口 人 P 地址 202.96.1.1 202.96.1.2 
隧道 端口 IP 地 址 192.168.1.1 192.168.1.2 


两 端 路 由 器 配置 分 别 如 下 。 
(1) 分 别 在 总 部 路 由 器 Rl 和 分 支 机 构 路 由 器 R2 配置 接口 地 址 和 静态 路 由 。 


<Huawei> system-view 

[Huawei] sysname R1 

[R1] interface gigabitethernet 1/0/0 

[R1-GigabitEthernet1/0/0] ip address 168.1.1.1 255.255.255.0 

[R1-GigabitEthernet1/0/0] quit 

[R1] interface gigabitethernet 2/0/0 

[R1-GigabitEthernet2/0/0] ip address 172.22.1.100 255.255.255.0 

[R1-GigabitEthernet2/0/0] quit 

[R1] ip route-static 167.1.1.1 255.255.255.0 168.1.1.2 (到 对 端 下 一 跳 的 地 址 是 168.1.1.2) 
[R1] ip route-static 172.22.2.0 255.255.255.0 168.1.1.2 


<Huawei> system-view 

[Huawei] sysname R2 

[R2] interface gigabitethernet 1/0/0 

[R2-GigabitEthernetl/0/0] ip address 167.1.1.1 255.255.255.0 

[R2-GigabitEthernet1/0/0] quit 

[R2] interface gigabitethernet 2/0/0 

[R2-GigabitEthermet2/0/0] ip address 172.22.2.100 255.255.255.0 

[R2-GigabitEthernet2/0/0] quit 

[R2] ip route-static 168.1.1.0 255.255.255.0 167.1.1.2 (到 对 端 下 一 跳 的 地 址 是 167.1.1.2) 
[R2] ip route-static 172.22.1.0 255.255.255.0 167.1.1.2 


(2) 分 别 在 Rl 和 R2 上 配置 ACL， 定 义 各 自 要 保护 的 数据 流 。 


# 在 R1 上 配置 ACL， 定 义 由 子 网 172.22.1.0/24 去 子 网 172.22.2.0/24 的 数据 流 

[R1] asl number 3101 

[Rl1-acl-adv-3101] rule permit ip source 172.22.1.0 0.0.0.255 destination 172.22.2.0 0.0.0.255 
[Rl1-acl-adv-3101] quit 


eu 
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# 在 R2 上 配置 ACL， 定 义 由 子 网 172.22.2.0/24 去 子 网 172.22.1.0/24 的 数据 流 

[R2] acl number 3101 

[R2-acl-adv-3101] rule permit ip source 172.22.2.0 0.0.0.255 destination 172.22.1.0 0.0.0.255 
[R2-acl-adv-3101] quit 


(3) 分 别 在 Rl 和 R2 上 创建 了 PSec 安全 提议 。 


# 在 R1 上 配置 PSec 安全 提议 

[R1] ipsec proposal tranl 

[R1-ipsec-proposal-tran1] esp authentication-algorithm sha2-256 
[R1-ipsec-proposal-tran1] esp encryption-algorithm aes-128 
[R1-ipsec-proposal-tran1] quit 


# 在 R2 上 配置 IPSec 安全 提议 

[R2] ipsec proposal tranl 

[R2-ipsec-proposal-tran1] esp authentication-algorithm sha2-256 
[R2-ipsec-proposal-tran1] esp encryption-algorithm aes-128 
[R2-ipsec-proposal-tran1] quit 


此 时 分 别 在 Rl1 和 R2 上 执行 display ipsec proposal 会 显示 所 配置 的 信息 。 
(4) 分 别 在 Rl 和 R2 上 配置 IKE 对 等 体 。 


# 在 R1 上 配置 IKE 安全 提议 

[R1] ike proposal 5 

[R1-ike-proposal-5] encryption-algorithm aes-128 
[R1-ike-proposal-5] authentication-algorithm sha2-256 
[R1-ike-proposal-5] dh group14 

[Rl1-ike-proposal-5] quit 


# 在 R1 上 配置 下 E 对 等 体 ， 并 根据 默认 配置 ， 配 置 预 共享 密 钥 和 对 端 人 D 
[R1] ike peer spub 

[R1-ike-peer-spub] undo version 2 

[R1-ike-peer-spub] ike-proposal 5 

[R1-ike-peer-spub] pre-shared-key cipher huawei 

[R1-ike-peer-spub] remote-address 167.1.1.1 

[Rl1-ike-peer-spub] quit 


# 在 R2 上 配置 IKE 安全 提议 
[R2] ike proposal 5 
[R2-ike-proposal-5] encryption-algorithm aes-128 
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[R2-ike-proposal-5] authentication-algorithm sha2-256 
[R2-ike-proposal-5] dh group14 
[R2-ike-proposal-5] quit 


# 在 R2 上 配置 IKE 对 等 体 ， 并 根据 默认 配置 ， 配 置 预 共享 密 钥 和 对 端 人 D 
[R2] ike peer spua 

[R2-ike-peer-spual] undo version 2 

[R2-ike-peer-spua] ke-proposal 5 

[R2-ike-peer-spua] pre-shared-key cipher huawei 

[R2-ike-peer-spua] remote-address 192.168.1.1 

[R2-ike-peer-spua] quit 


(5) 分 别 在 Rl 和 R2 上 创建 安全 策略 。 


# 在 R1 上 配置 IKE 动态 协商 方式 安全 策略 

[R1] ipsec policy mapl 10 isakmp 
[R1l-ipsec-policy-isakmp-map1-10] ike-peer spub 
[R1l-ipsec-policy-isakmp-map1-10] proposal tranl 
[R1-ipsec-policy-isakmp-map1-10] security acl 3101 
[R1l-ipsec-policy-isakmp-map1l-10] quit 


# 在 R2 上 配置 下 E 动态 协商 方式 安全 策略 

[R2] ipsec policy usel 10 isakmp 

[R2-ipsec-policy-isakmp-usel-10] ike-peer spua 

[R2-ipsec-policy-isakmp-usel-10] proposal tranl 

[R2-ipsec-policy-isakmp-usel-10] security acl 3101 

[R2-ipsec-policy-isakmp-usel-10] quit 

此 时 分 别 在 Rl 和 R2 上 执行 display ipsec policy 会 显示 所 配置 的 信息 。 

(6) 分 别 在 RouterA 和 RouterB 的 接口 上 应 用 各 自 的 安全 策略 组 ， 使 接口 具有 IPSec 的 保 
护 功能 。 

# 在 Rl 的 接口 上 引用 安全 策略 组 

[R1] interface gigabitethernet 1/0/0 


[R1-GigabitEthernet1/0/0] ipsec policy mapl 
[R1-GigabitEthernet1/0/0] quit 


# 在 R2 的 接口 上 引用 安全 策略 组 
[R2] interface gigabitethernet 1/0/0 
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[R2-GigabitEthernet1/0/0] ipsec policy usel 
[R2-GigabitEthernet1/0/0] quit 
(7) 测试 配置 结果 。 
# 配置 成 功 后 ， 总 部 和 分 支 机 构 的 PC 执行 ping 操作 正常 ， 它 们 之 间 的 数据 传输 将 被 加 密 ， 执 行 命 
令 display ipsec statistics 可 以 查看 数据 包 的 统计 信息 


# 在 R1 上 执行 display ike sa 操作 ， 结 果 如 下 
[R1] display ike sa 
Conn-ID Peer VPN Flag(s) Phase 


167.1.1.1 
14 167.1.1.1 0 RDIST vl:1 


Number of SA entries :2 

Number of SA entries of all cpu : 2 

Flag Description: 

RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
HRT--HEARTBEAT LKG--LASTKNOWN GOOD SEQNO. BCK--BACKED UP 
M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING 


10.6.3 ”常见 的 故障 
1. IKE SA 协商 失败 


IPSec 业务 不 通 时 ， 执 行 命令 display ike sa， 发 现 下 E SA 没有 协商 成 功 。 IKE SA 协商 失败 
时 ， 显 示 信 息 为 室 、Flag 参数 为 空 或 者 Peer 参数 为 0.0.0.0。 
排 错 方法 1: 使 用 命令 display ike proposal， 查 看 IKE 对 等 体 间 的 IKE 安全 提议 是 否 一 致 ， 
如 果 不 一 致 需要 配置 一 致 。 例 如 检查 发 现 认证 算法 不 一 致 。 
IKE 协商 的 发 起 方 : 
ike proposal 10 
authentication-algorithm sha2-256 


IKE 协商 的 响应 方 : 


ike proposal 10 
authentication-algorithm sha2-384 
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排 错 方法 2: 使 用 命令 display ike peer， 查 看 对 等 体 视 图 下 的 配置 是 否 有 遗漏 或 配置 错误 。 
检查 是 否 配置 对 端正 地址。 

采用 ACL 方式 建立 IPSec 隧道 时 ， 如 果 IKE 协商 采用 主 模式 ， 则 设备 必须 指定 对 端的 正 
地 址 ， 而 且 两 端 指 定 的 对 端 瑟 地 址 要 相互 匹配 。 

例如 IKE 协商 的 发 起 方 和 响应 方 的 瑟 地 址 分 别 为 10.1.1.2 和 10.2.1.2， 配 置 如 下 所 示 。 

IKE 协商 的 发 起 方 : 

ike peer mypeerl 

Tremote-address 10.2.1.2 


IKE 协商 的 响应 方 : 


ike peer mypeer2 
remote-address 10.1.1.2 


对 端 outbound 的 spi 值 与 本 端的 inbound 不 同 或 配置 的 策略 不 同 (esp、ah)。 

判断 方法 和 解决 方案 为 : 检查 双方 的 配置 信息 ， 尤 其 是 在 PSec-manual 方式 下 检查 双方 的 
SPI 值 是 否 按 方向 〈inbound、outbound) 匹配 。 而 在 了 PSec-isakmp 下 ， 则 可 能 是 协商 出 错 。 

2. IPSec SA 协商 失败 

问题 描述 : IPSec 业务 不 通 时 ， 执 行 命令 display ike sa， 发 现 PSec SA 没有 协商 成 功 ， 第 
二 阶段 的 显示 信息 未 显示 或 Flag 参数 为 空 。 

排 错 方法 1: 执行 命令 display ipsec proposal， 查 看 IKE 对 等 体 间 的 IPSec 安全 提议 是 否 一 


如 果 不 一 致 需要 配置 一 致 。 例 如 检查 发 现 ESP 协议 采用 的 认证 算法 不 一 致 。 
IKE 协商 的 发 起 方 : 


长 


ipsec proposal prop1 
esp authentication-algorithm sha2-512 


IKE 协商 的 响应 方 : 

ipsec proposal prop2 

esp authentication-algorithm sha2-384 

排 错 方法 2: 使 用 命令 display ipsec policy， 查 看 IPSec 安全 策略 视图 下 的 配置 是 否 有 遗漏 
或 配置 错误 。 检 查 IPSec 安全 策略 中 引用 的 ACL 是 否 一 致 。 

当 IPSec 隧道 两 端的 ACL 规则 镜像 配置 时 ， 任 意 一 方 发 起 协商 都 能 保证 SA 成 功 建立 ， 当 


so 
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IPSec 隧道 两 端的 ACL 规则 非 镜像 配置 时 ， 只 有 发 起 方 的 ACL 规则 定义 的 范围 是 响应 方 的 子 
集 时 ，SA 才能 成 功 建立 。 因 此 ， 建 议 人 PSec 隧道 两 端 配置 的 ACL 规则 互 为 镜像 ， 即 一 端 配 置 
的 ACL 规则 的 源 地 址 和 目的 地 址 分 别 为 另 一 端 配置 的 ACL 规则 的 目的 地 址 和 源 地 址 。 

例如 IKE 协商 的 发 起 方 源 /目的 地 址 为 172.16.10.2/172.16.20.2，IKE 协商 的 响应 方 源 /目的 
地 址 为 172.16.20.2/172.16.10.2。 

IKE 协商 的 发 起 方 : 


acl number 3001 

rule 5 permit ip source 172.16.10.0 0.0.0.255 destination 172.16.20.0 0.0.0.255 
ipsec policy mapl 10 isakmp 

security acl 3001 


IKE 协商 的 响应 方 : 


acl number 3001 

rule 5 permit ip source 172.16.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 
ipsec policy map2 10 isakmp 

security acl 3001 


检查 IPSec 安全 策略 中 引用 的 IKE 对 等 体 中 内 容 是 否 一 致 ， 如 果 不 一 致 需要 配置 一 致 。 例 
如 IKE 协商 的 发 起 方 的 引用 的 IKE 对 等 体 为 spub。 


ipsec policy mapl 10 isakmp 
ike-peer spub 


其 IKE 对 等 体 的 相关 配置 。 


ike peer spub 

undo version 2 

pre-shared-key cipher %“%#JvZxR2g8c;a9~FPN~n'$7"DEV&=G(=Et02P/%\*1%0^%# / 密 钥 为 
Huawei(@123 

ike-proposal 5 

remote-address 59.74.144.1 


检查 下 Sec 安全 策略 中 引用 的 人 PSec 安全 提议 中 内 容 是 否 一 致 , 如果 不一致 需要 配置 一 致 。 
例如 IKE 协商 的 发 起 方 的 引用 的 下 Sec 安全 提议 为 tranl。 


ipsec policy policyl 100 isakmp 
proposal tranl 
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JPSec 安全 提议 的 相关 配置 为 : 


ipsec proposal tranl 
esp authentication-algorithm sha2-256 
esp encryption-algorithm aes-128 


10.7 1IPv6 配置 与 部 署 


由 于 从 IPv4 向 了 Pv6 过 渡 是 大 势 所 趋 ， 所 以 目前 有 许多 从 IPv4 向 IPv6 过 渡 的 技术 。 本 节 
通过 实例 介绍 采用 双 栈 、 隧 道 策略 实现 从 IPv4 向 IPv6 过 渡 的 技术 。 


1， 双 栈 策略 


双 栈 策略 是 指 在 网 络 节点 中 同时 具有 IPv4 和 IPv6 两 个 协议 栈 ， 这 样 ， 它 既 可 以 接收 、 处 
理 、 收 发 IPv4 的 分 组 ， 也 可 以 接收 、 处 理 、 收 发 Pv6 的 分 组 。 对 于 主机 来 讲 ，“ 双 栈 ” 是 指 
其 可 以 根据 需要 对 业务 产生 的 数据 进行 Pv4 封装 或 者 IPv6 封装 ， 对 于 路 由 器 来 讲 ，“ 双 栈 ” 
是 指 在 一 个 路 由 器 设备 中 维护 IPv6 和 IPv4 两 套路 由 协议 栈 , 使 得 路 由 器 既 能 与 IPv4 主机 也 能 
与 IPv6 主机 通信 ， 分 别 支持 独立 的 IPv6 和 IPv4 路 由 协议 ，IPv4 和 IPv6 路 由 信息 按照 各 自 的 
路 由 协议 进行 计算 ,维护 不 同 的 路 由 表 。IPv6 数据 报 按照 IPv6 路 由 协议 得 到 的 路 由 表 转 发 , IPv4 
数据 报 按照 v4 路 由 协议 得 到 的 路 由 表 转 发 。 双 栈 策略 的 优点 是 概念 清晰 、 易 于 理解 、 网 络 规 
划 相 对 简单 ， 同 时 在 IPv6 逻辑 网 络 中 可 以 充分 发 挥 IPv6 协议 的 所 有 优点 (例如 安全 性 、 路 由 
约束 和 流 的 支持 等 方面 ) 。 

双 栈 策略 存在 以 下 缺点 : 对 网 元 设备 的 要 求 较 高 ， 要 求 其 不 仅 支持 IPv4 路 由 协议 ， 而 且 
支持 Pv6 路 由 协议 , 这 就 要 求 其 维护 大 量 的 协议 和 数据 。 另 外 ， 网 络 升级 改造 将 涉及 网 络 中 的 
所 有 网 元 设备 ， 投 资 大 、 建 设 周期 比较 长 。 


2. 隧道 策略 


隧道 策略 是 IPv4/Pv6 过 渡 中 经 常 使 用 到 的 一 种 机 制 。 所 谓 “隧道 ”， 简 单 地 讲 就 是 利用 
一 种 协议 来 传输 另 一 种 协议 的 数据 的 技术 。 在 IPv6 发 展 初期 ， 必 然 有 许多 局 部 的 纯 IPv6 网 络 ， 
这 些 IPv6 网 络 被 Pv4 骨干 网 络 隔离 开 来 ， 为 了 使 这 些 孤立 的 “IPv6 岛 ” 互 通 ， 采 取 隧 道 技术 
的 方式 来 解决 。 利 用 穿越 现存 IPv4 因特网 的 隧道 技术 将 许多 个 “IPv6 孤岛 ”连接 起 来 ， 逐 步 
扩大 IPv6 的 实现 范围 。 隧 道 技术 的 工作 机 理 就 在 IPv6 网 络 与 IPv4 网 络 间 的 隧道 入 口 处 ， 路 由 
器 将 了 Pv6 的 数据 分 组 封装 入 IPv4 中 ，IPv4 分 组 的 源 地 址 和 目的 地 址 分 别 是 隧道 入 口 和 出 口 的 
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JPv4 地 址 。 在 隧道 的 出 口 处 再 将 IPv6 分 组 取出 转发 给 目的 节点 。 目 前 应 用 较 多 的 隧道 技术 有 
构造 隧道 、6to4 隧道 以 及 MPLS 隧道 等 。 目前 的 隧道 技术 主要 实现 了 在 IPv4 数据 包 中 封装 IPv6 
数据 包 ， 随 着 IPv6 技术 的 发 展 和 广泛 应 用 ， 未 来 将 会 出 现在 IPv4 数据 包 中 封装 IPv6 数据 包 的 
隧道 技术 。 隧 道 技术 能 够 充分 利用 现 有 的 网 络 投资 , 因此 在 过 渡 初 期 是 一 种 方便 的 选择 。 但 是 ， 
在 隧道 的 入 口 处 会 出 现 负 载 协议 数据 包 的 拆 分 ， 在 隧道 的 出 口 处 会 出 现 负载 协议 数据 包 的 重 
组 ， 这 就 增加 了 隧道 出 、 入 口 的 实现 复杂 度 ， 不 利于 大 规模 的 应 用 。 


10.7.1 1IPv6-over-IPv4 GRE 隧道 配置 


IPv6-over-IPv4 隧道 是 将 IPv6 报 文 封装 在 IPv4 报 文中 , 让 IPv6 数据 包 穿 过 IPv4 网 络 进行 
通信 。 对 于 采用 隧道 技术 的 设备 来 说 ， 在 隧道 的 入 口 处 ， 将 IPv6 的 数据 报 封装 进 IPv4，IPv4 
报 文 的 源 地 址 和 目的 地 址 分 别 是 隧道 入 口 和 隧道 出 口 的 IPv4 地 址 ; 在 隧道 的 出 口 处 , 再 将 IPv6 
报 文 取出 转发 到 目的 节点 。 隧 道 技术 只 要 求 在 隧道 的 入 口 和 出 口 处 进行 修改 ， 对 其 他 部 分 没有 
要 求 ， 容 易 实现 。 但 是 ， 隧 道 技术 不 能 实现 IPv4 主机 与 Pv6 主机 的 直接 通信 。 

使 用 标准 的 GRE 隧道 技术 ， 可 以 在 IPv4 的 GRE 隧道 上 承载 IPv6 数据 报 文 。GRE 隧道 是 
两 点 之 间 的 连 路 ， 每 条 连 路 都 是 一 条 单独 的 隧道 。GRE 隧道 把 IPv6 作为 乘客 协议 ,将 GRE 作 
为 承载 协议 。 所 配置 的 IPv6 地 址 是 在 Tunnel 接口 上 配置 的 , 所 配置 的 IPv4 地 址 是 Tunnel 的 源 
地 址 和 目的 地 址 (隧道 的 起 点 和 终点 )。 

IPv6-over-IPv4GRE 隧道 的 相关 配置 命令 及 功能 如 表 10-10 所 示 。 


表 10-10 ”GRE 隧道 的 相关 配置 命令 及 功能 


命 令 功 能 
interface tunnel interface-number 创建 Tunnel 接口 
tunnel-protocol gre 指定 Tunnel 为 GRE 模式 
source {ip-address|interface-type interface-number} 指定 Tunnel 的 源 地 址 或 源 接口 
ipv6 enable 使 能 接口 的 IPv6 功能 
ipv6 address {ipv6-addressprefix-lengthlipv6-address/prefix-length} | 设置 Tunnel 接口 的 IPv6 地 址 


下 面 通过 一 个 具体 的 实例 来 实现 人 v6-over-IPv4GRE 隧道 配置 。 

路 由 器 R1 和 R2 经 IPv4 网 络 连接 ， 路 由 器 以 太 口 分 别 连接 两 个 IPv6 网 段 。 通 过 Tunnel 
将 IPv6 的 数据 包 封 装 到 IPv4 的 数据 包 中 ， 实 现 点 到 点 的 数据 传输 。 网 络 拓扑 图 如 图 10-31 
所 示 。 


GE1/0/0 


IPv4 网 络 
GE2/0/0 
fc01::1/64 


Tunne0/0/1 


GE0/0/1 
10.1. 2. 1/24 


Tunne0/0/1 
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GE1/0/0 
10.1.2.2/24¢ 
, R2 


GE2/0/0 
fc03::1/64 


/lfe02::1/64 fc02: :2/64 
GRE Tunnel 


fc01: :2/64 


图 10-31 IPv6-over-IPv4GRE 隧道 
(1) 配置 Rl 和 R2 的 物理 接口 地 址 。 


<Huawei> system-view 

[Huawei] sysname R1 

[R1] interface gigabitethernet 1/0/0 
[R1-GigabitEthernet1/0/0] ip address 10.1.1.1 255.255.255.0 
[R1-GigabitEthernet1/0/0] quit 

[Rl1] ipv6 

[R1] interface gigabitethernet 2/0/0 
[R1-GigabitEthernet2/0/0] ipv6 enable 
[R1-GigabitEthernet2/0/0] ipv6 address fc01::1 64 
[R1-GigabitEthernet2/0/0] quit 


<Huawei> system-view 

[Huawei] sysname R2 

[R2] interface gigabitethernet 1/0/0 
[R2-GigabitEthernet1/0/0] ip address 10.1.2.2 255.255.255.0 
[R2-GigabitEthernet1/0/0] quit 

[R2] ipv6 

[R2] interface gigabitethernet 2/0/0 
[R2-GigabitEthernet2/0/0] ipv6 enable 
[R2-GigabitEthernet2/0/0] ipv6 address fc03::1 64 
[R2-GigabitEthernet2/0/0] quit 


(2) 配置 Rl 和 R2 的 IPV4 静态 路 由 。 


[R1] ip route-static 10.1.2.2 255.255.255.0 10.1.1.2 


PC2 “fc03::2/64 
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[R2] ip route-static 10.1.1.1 255.255.255.0 10.1.2.1 
(3) 配置 Rl 和 R2 的 Tunnel 接口 。 


[R1] interface tunnel 0/0/1 
[R1-Tunnel0/0/1] tunnel-protocol gre 
[R1-Tunnel0/0/1] ipv6 enable 
[R1-Tunnel0/0/1] ipv6 address fc02::1 64 
[R1-Tunnel0/0/1] source 10.1.1.1 
[R1-Tunnel0/0/1] destination 10.1.2.2 
[R1-Tunnel0/0/1] quit 


[R2] interface tunnel 0/0/1 
[R2-Tunnel0/0/1] tunnel-protocol gre 
[R2-Tunnel0/0/1] ipv6 enable 
[R2-Tunnel0/0/1] ipv6 address fc02::2 64 
[R2-Tunnel0/0/1] source 10.1.2.2 
[R2-Tunnel0/0/1] destination 10.1.1.1 
[R2-Tunnel0/0/1] quit 


(4) 配置 Rl1 和 R2 的 Tunnel 静态 路 由 。 


[R1] ipv6 route-static fe03::1 64 tunnel 0/0/1 


[R2] ipv6 route-static fe01::1 64 tunnel 0/0/1 
(5) 检查 配置 结果 。 


# 在 R2 上 Ping Rl 的 IPv4 地 址 ， 可 收 到 返回 的 报 文 

[R2] ping 10.1.1.1 

PING 10.1.1.1: 56 data bytes, press CTRL C to break 
Reply from 10.1.1.1: bytes=56 Sequence=] ttl=255 time=66 ms 
Reply from 10.1.1.1: bytes=56 Sequence=2 ttl=255 time=48 ms 
Reply from 10.1.1.1: bytes=56 Sequence=3 tt]=255 time=48ms 
Reply from 10.1.1.1: bytes=56 Sequence=4 ttl=255 time=12 ms 
Reply from 10.1.1.1: bytes=56 Sequence=5 tt]=255 time=46 ms 
一 10.1.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
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round-trip min/avg/max = 12/44/66 ms 
# 在 R2 上 Ping R1 的 IPv6 地 址 ， 可 收 到 返回 的 报 文 


[R2] ping ipv6 fe01::1 
PING fe01::1 : 56 data bytes, press CTRL C to break 


Reply from fc01::1 bytes=56 Sequence=] hop limit=64 time=36 ms 
Reply from fe01::1 bytes=56 Sequence=2 hop limit=64 time =34ms 
Reply from fe01::1 bytes=56 Sequence=3 hop limit=64 time = 36 ms 
Reply from fe01::1 bytes=56 Sequence=4 hop limit=64 time =36 ms 
Reply from fc01::1 bytes=56 Sequence=5 hop limit=64 time =38 ms 
--- fe01::1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 


0.00% packet lossround-trip min/avg/max = 34/36/38 ms 


10.7.2 “ISATAP 隧道 配置 


站 内 自动 隧道 寻 址 协议 (Intra-Site Automatic Tunnel Addressing Protocol，ISATAP)〉 过 渡 技 
术 采 用 了 双 栈 和 隧道 技术 实现 从 IPv4 向 IPv6 的 过 渡 。ISATAP 隧道 是 点 到 点 的 自动 隧道 技术 ， 
它 将 IPv4 地 址 置 入 IPv6 地 址 中 ， 当 两 台 ISATAP 主机 通信 时 ， 可 自动 抽取 出 IPv4 地 址 建立 
Tunnel 通信 ， 并 且 不 需要 通过 其 他 特殊 网 络 设备 ， 只 要 彼此 间 IPv4 网 络 通畅 即 可 。 

当 双 栈 主 机 使 用 ISATAP 隧道 时 , IPv6 报 文 的 目的 地 址 和 隧道 接口 的 IPv6 地 址 都 要 采用 特 
殊 的 地 址 一 一 ISATAP 地 址 。ISATAP 地 址 格式 为 Prefix (64bit) :0:SEFE:IPv4ADDR， 其 中 ， 
0:5EFE 是 IANA 规定 的 格式 ，IPv4ADDR 是 单 播 IPv4 地 址 ， 它 嵌入 到 IPv6 地 址 的 低 32 位 。 
ISATAP 地 址 的 前 64 位 是 通过 向 ISATAP 路 由 器 发 送 请 求 得 到 的 ， 如 果 需 要 和 其 他 网 络 的 
ISATAP 客户 端 或 者 IPv6 网 络 通信 ， 必 须 通过 ISATAP 路 由 器 拿 到 全 球 单 播 地 址 前 级 (2001:、 
2002:、3ffe: 开 头 )， 通 过 路 由 器 与 其 他 IPv6 主机 和 网 络 通信 。 其 原理 如 图 10-32 所 示 。 

ISATAP 隧道 可 以 用 于 IPv4 网 络 中 IPv6 路 由 器 与 IPv6 路 由 器 、 主 机 与 路 由 器 的 连接 。 由 
于 不 要 求 隧道 节点 具有 全 球 唯 一 的 IPv4 地 址 ， 可 以 用 于 内 部 私有 网 络 中 各 双 栈 主机 进行 IPv6 
通信 , 所 以 ISATAP 隧道 适用 于 IPv4 网 络 中 IJPv6 主机 之 间 的 通信 或 JPv4 网 络 中 IPv6 主机 接 入 
到 IPv6 网 络 的 通信 。 

下 面 通过 一 个 具体 的 实例 来 实现 ISATAP 隧道 配置 。 

路 由 器 ISATAP 以 太 口 连接 IPv6 和 网 络 IPv4 网 络 ， 通 过 ISATAP 隧道 将 IPv6 的 数据 包 封 
装 到 IPv4 的 数据 包 中 ， 实 现 IPv6 Host 和 ISATAP Host 的 数据 传输 。 网 络 拓扑 图 如 图 10-33 
所 示 。 
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[一 和 


ISATAP 主机 
一 
ICMPv6 Type 133 (RS) TICMPv6 Type 134 (RA) 
IPv4 Source: 192.1.2.1 IPv4 Source: 192.2.3.2 


TPv4 Destinati 


IPv6 Source: fe80::5. 
IPv6 Destination: fe80::5efe:ce7b: lfe8 IPv6 Destination: fe80:: 
Send me ISATAP Prefix ISATAP Prefix: 3ffe:bOO:fFFF :2:: 


图 10-32 ISATAP 隧道 获取 ISATAP 地 址 


ISATAP 
路 由 器 


IPv6 网 络 


IPv4 网 络 
1/0/0 GE2/070 
3001::1/64 2.1.1.1/8 


ISATAP Host 
IPv6 Host Fe80: :5efe:0201:0102 
3001::2 2&1 2 
2001: :5efe:0201:0102 


图 10-33 ”ISATAP 隧道 配置 


ISATAP 隧道 的 相关 配置 命令 及 功能 如 表 10-11 所 示 。 
表 10-11 ISATAP 隧道 相关 配置 命令 及 功能 


功 能 
配置 Tunnel 接口 的 隧道 协议 为 ipv6-ipv4 并 使 用 isatap 隧道 


命令 
tunnel-protocol ipv6-ipv4 isatap 


ipv6 address 2001::/64 eui-64 配置 接口 的 EUI-64 格式 的 全 球 单 播 地 址 


source gigabitethernet 2/0/0 用 来 配置 Tunnel 源 地 址 或 源 接口 


undo ipv6 nd ra halt 用 来 使 能 系统 发 布 RA 报 文 功能 


用 来 为 用 户 端 添加 静态 路 由 (windows) 


netsh interface ipv6 isatap set router 


display ipv6 interface Tunnel 0/0/2 用 来 查看 接口 的 IPv6 信息 
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(1) 配置 ISATAP 路 由 器 。 
# 使 能 IPv4/IPv6 双 协议 栈 ， 配 置 各 接口 地 址 


<Huawei> system-view 

[Huaweilsysname Router 

[Router] ipv6 

[Router] interface gigabitethernet 1/0/0 
[Router-GigabitEthernetl1/0/0] ipv6 enable 
[Router-GigabitEthernet1/0/0] ipv6 address 3001::1/64 
[Router-GigabitEthernet1/0/0] quit 

[Router] interface gigabitethernet 2/0/0 
[Router-GigabitEthernet2/0/0] ip address 2.1.1.1 255.0.0.0 
[Router-GigabitEthernet2/0/0] quit 


# 配 置 ISATAP 隧道 

[Router] interface tunnel 0/0/2 

[Router-Tunnel0/0/2] tunnel-protocol ipv6-ipv4 isatap 
[Router-Tunnel0/0/2] ipv6 enable 
[Router-Tunnel0/0/2] ipv6 address 2001::/64 eui-64 
[Router-Tunnel0/0/2] source gigabitethernet 2/0/0 
[Router-Tunnel0/0/2] undo ipv6 nd ra halt 
[Router-Tunnel0/0/2] quit 


(2) 配置 ISATAP 主机 。 
ISATAP 主机 上 的 具体 配置 与 主机 的 操作 系统 有 关 ， 以 Windows 7 操作 系统 的 主机 为 例 。 


# 使 用 如 下 的 命令 添加 一 条 到 边界 路 由 器 的 静态 路 由 在 Windows 7 系统 中 ，IPv6 协议 默认 已 经 安装 
C: netsh interface ipv6 isatap set router 2.1.1.1 
C:\> netsh interface ipv6 isatap set router 2.1.1.1 enabled 


# 在 主机 上 查看 ISATAP 接口 的 信息 
C:\>ipconfig/all 
隧道 适配器 isatap.{895CA398-8C4F-4332-9558-642844FCB01B}: 


描述 ...............:Microsoft ISATAP Adapter #7 
物理 地 址 . ............: 00-00-00-00-00-00-00-E0 
DHGP' 已 启用 -3 香 

自动 配置 已 启用 ..........: 是 

JPv6 地 址 ............:2001::200:5efe:2.1.1.2( 首 选 ) 
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fecO0:0:0:ffff::2%1 
fecO0:0:0:ffff::3%1 


TCPIP 上 的 NetBIOS .......: 已 禁用 
主机 获取 了 2001::/64 的 前 级 ， 自 动 生成 地 址 2001::200:5efe:2.1.1.2，ISATAP 隧道 已 经 成 
功 建立 。 


(3) 配置 IPv6 网 络 主机 。 


# 在 IPv6 网 络 中 的 主机 上 配置 一 条 到 边界 路 由 器 隧道 的 静态 路 由 ， 使 两 个 不 同 网 络 的 PC 通过 
ISATAP 隧道 互通 
C: netsh interface ipv6 set route 2001::/64 3001::1 


(4) 检查 配置 结果 。 


# 在 ISATAP 路 由 器 上 查看 Tunnel0/0/2 的 IPv6 状态 为 Up 
[Router] display ipv6 interface Tunnel 0/0/2 
Tunnel0/0/2 current state : UP 
JPv6 protocol current state : UP 
IPv6 is enabled, link-local address is FE80::SEFE:201:101 
Global unicast address(es): 
2001::SEFE:201:101, subnet is 2001::/64 
Joined group address(es): 
FF02::1:FF01:101 
FF02::2 
FF02::1 
MTU is 1500 bytes 
ND reachable time is 30000 milliseconds 
ND retransmit interval is 1000 milliseconds 
ND advertised reachable time is 0 milliseconds 
ND advertised retransmit interval is 0 milliseconds 
ND router advertisement max interval 600 seconds, min interval 200 seconds 
ND router advertisements live for 1800 seconds 
Hosts use stateless autoconfig for addresses 


# 在 ISATAP 路 由 器 上 Ping 向 Window XP 系统 的 ISATAP 主机 隧道 接口 的 全 球 单 播 地 址 
[Router] ping ipv6 2001::Sefe:2.1.1.2 
PING 2001::5efe:2.1.1.2:56 data bytes, press CTRL C to break 
Reply from 2001::5EFE:201:102 bytes=56 Sequence=] hop limit=64 time =4ms 
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Reply from 2001::SEFE:201:102 bytes=56 Sequence=2 hop limit=64 time=3 ms 
Reply from 2001::5EFE:201:102 bytes=56 Sequence=3 hop limit=64 time=2 ms 
Reply from 2001::5EFE:201:102 bytes=56 Sequence=4 hop limit=64 time=2 ms 
Reply from 2001::5EFE:201:102 bytes=56 Sequence=5 hop limit=64 time =2 ms 
-一 2001::Sefe:2.1.1.2 ping statistics -—- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 2/2/4 ms 


在 Window XP 系统 的 ISATAP 主机 上 Ping 向 ISATAP 路 由 器 的 全 球 单 播 地 址 ， 以 及 从 
ISATAP 主机 上 Ping 向 IPv6 网 络 主机 ， 检 查 结果 与 上 列 相似 ， 配 置 成 功 。 


10.8 访问 控制 列表 
10.8.1 ACL 的 基本 概念 


访问 控制 列表 (ACL) 根据 源 地 址 、 目 标 地 址 、 源 端口 或 目标 端口 等 协议 信息 对 数据 包 进 
行 过 滤 ， 从 而 达到 访问 控制 的 目的 。 这 种 技术 最 初 只 在 路 由 器 上 使 用 , 后 来 扩展 到 三 层 交 换 机 ， 
甚至 有 些 新 的 二 层 交换 机 也 开始 支持 ACL 了 。 

ACL 是 由 编号 或 名 字 组 合 起 来 的 一 组 语句 。 编 号 和 名 字 是 路 由 器 引用 ACL 语句 的 索引 。 
编号 的 ACL 语句 被 赋予 唯一 的 数字 , 而 命名 的 ACL 语句 有 一 个 唯一 的 名 字 。 有 了 编号 或 名 字 ， 
路 由 器 就 可 以 找到 需要 的 ACL 语句 了 。 

ACL 包括 permit/deny 两 种 动作 ， 表 示人 允许 /拒绝 ， 匹 配 (命中 规则 〉 是 指 存在 ACL， 且 在 
ACL 中 查找 到 了 符合 匹配 条 件 的 规则 。 不 论 匹配 的 动作 是 “permit” 还 是 “deny”， 都 称 为 “ 匹 
配 ”。 而 不 匹配 (未 命中 规则 〉 是 指 不 存在 ACL， 或 ACL 中 无 规则 ， 再 或 者 在 ACL 中 遍历 了 
所 有 规则 都 没有 找到 符合 匹配 条 件 的 规则 。 

ACL 在 系统 视图 模式 下 配置 ， 生 成 的 ACL 命令 需要 被 应 用 才能 起 效 。 

ACL 分 为 基本 ACL、 高 级 ACL、 二 层 ACL 和 用 户 ACL 这 几 种 类 型 。 标 准 ACL 只 能 根据 
分 组 中 的 下 源 地 址 进行 过 滤 ， 例 如 可 以 允许 或 拒绝 来 自 某 个 源 设备 的 所 有 通信 。 扩 展 ACL 不 
仅 可 以 根据 源 地 址 或 目标 地 址 进行 过 滤 ， 还 可 以 根据 不 同 的 上 层 协议 和 协议 信息 进行 过 滤 。 
例如 ， 可 以 对 PC 与 远程 服务 器 的 Telnet 会 话 进行 过 滤 。 表 10-12 比较 了 几 种 ACL 过 滤 功 能 的 
区 别 。 
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表 10-12 ACL 分 类 
仅 使 用 报 文 的 源 瑟 地址 、 分 片 信息 和 生效 时 间 段 信息 来 定义 规则 
既 可 使 用 IPv4 报 文 的 源 他 地 址 ,也 可 使 用 目的 下 地 址 ,人 P 协 议 类 型 .ICMP 
类 型 、TCP 源 /目的 端口 、UDP 源 /目的 端口 号 、 生 效 时 间 段 等 来 定义 规则 
使 用 报 文 的 以 太 网 帧 头 信息 来 定义 规则 ， 如 根据 源 MAC (Media Access 
Control) 地 址 、 目 的 MAC 地 址 、 二 层 协议 类 型 等 
既 可 使 用 IPv4 报 文 的 源 下 地 址 ,也 可 使 用 目的 人 地址 ,IP 协议 类 型 .ICMP 
类 型 、TCP 源 端口 /目的 端口 、UDP 源 端口 /目的 端口 号 等 来 定义 规则 


基本 ACL 2000 一 2999 


高 级 ACL 3000 一 3999 


二 层 ACL 4000 一 4999 


用 户 ACL 6000 一 6031 

当 一 个 分 组 经 过 时 ， 路 由 器 按照 一 定 的 步骤 找 出 与 分 组 信息 匹配 的 ACL 语句 对 其 进行 处 
理 。 路 由 器 自 顶 向 下 逐个 处 理 ACL 语句 ， 首 先 把 第 一 个 语句 与 分 组 信息 进行 比较 ， 如 果 匹 配 ， 
则 路 由 器 将 允许 (Permit) 或 拒绝 (Deny) 分 组 通过 ; 如 果 第 一 个 语句 不 匹配 ， 则 照样 处 理 第 
-个 语句 ， 直 到 找 出 一 个 匹配 的 。 如 果 在 整个 列表 中 没有 发 现 匹 配 的 语句 ， 则 路 由 器 丢弃 该 分 
组 。 于是， 可 以 对 ACL 语句 的 处 理 规则 总 结 出 以 下 要 点 。 

(1) 一 旦 发 现 匹 配 的 语句 ， 就 不 再 处 理 列表 中 的 其 他 语句 。 

(2) 语句 的 排列 顺序 很 重要 。 

(3) 如 果 整 个 列表 中 没有 匹配 的 语句 ， 则 分 组 被 丢弃 。 

需要 特别 强调 ACL 语句 的 排列 顺序 。 如 果 有 两 条 语句 ， 一 个 拒绝 来 自 某 个 主机 的 通信 ， 
另 一 个 允许 来 自 该 主机 的 通信 ， 则 排 在 前 面 的 语句 将 被 执行 ， 排 在 后 面 的 语句 将 被 忽略 。 所 以 
在 安排 ACL 语句 的 顺序 时 要 把 最 特殊 的 语句 排 在 列表 的 最 前 面 ， 把 最 一 般 的 语句 排 在 列表 的 
最 后 面 ， 这 是 ACL 语句 排列 的 基本 原则 。 例 如 ， 下 面 的 两 条 语句 组 成 一 个 标准 ACL。 


rule deny ip destination 172.16.0.0 0.0.255.255 
rule permit ip destination 172.16.10.0 0.0.0.255 


第 一 条 语句 表示 表示 拒绝 目的 人 P 地 址 为 172.16.0.0/16 网 段 地 址 的 报 文通 过 ， 第 二 条 语句 
表示 表示 人 允许 目的 人 地 址 为 172.16.10.0/24 网 段 地 址 的 报 文 通过 ， 该 网 段 地 址 范围 小 于 
172.16.0.0/16 网 段 范围 。 如 果 路 由 器 收 到 一 个 目的 地 址 为 172.16.10.0 的 分 组 ， 则 首先 与 第 一 条 
语句 进行 匹配 ， 该 分 组 被 拒绝 通过 ， 第 二 条 语句 就 被 忽略 了 。 如 果 要 达到 预想 的 结果 一 一 允许 
来 自 172.16.10.0 子 网 172.16.10.0/24 的 所 有 通信 ， 则 两 条 语句 的 顺序 必须 互 换 。 


rule permit ip destination 172.16.10.0 0.0.0.255 

Tule deny ip destination 172.16.0.0 0.0.255.255 

ACL 除了 按照 配置 顺序 规则 (config 模式 ) 执行 以 外 , 还 有 按照 自动 排序 规则 (auto 模式 ) 。 
自动 排序 是 指 系统 使 用 “深度 优先 ”的 原则 ， 将 规则 按照 精确 度 从 高 到 低 进行 排序 ， 并 按照 精 
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确 度 从 高 到 低 的 顺序 进行 报 文 匹 配 。 规 则 中 定义 的 匹配 项 限制 越 严 格 ， 规 则 的 精确 度 就 越 高 ， 
即 优先 级 越 高 ， 系 统 越 先 匹配 。 
例如 ， 在 auto 模式 的 高 级 ACL 3001 中 ， 先 后 配置 以 下 两 条 规则 。 


Tule deny ip destination 172.16.0.0 0.0.255.255 
Iule permit ip destination 172.16.10.0 0.0.0.255 


配置 完 上 述 两 条 规则 后 ，ACL 3001 的 规则 排序 如 下 。 


# 
acl number 3001 match-order auto 
rule 5 permit ip destination 172.16.10.0 0.0.0.255 
rule 10 deny ip destination 172.16.0.0 0.0.255.255 
# 


此 时 ， 如 果 再 插入 一 条 新 的 规则 rule deny ip destination 10.1.1.10 (目的 他 地 址 范围 是 主机 
地 址 ， 优 先 级 高 于 以 上 两 条 规则 ) ， 则 系统 将 按照 规则 的 优先 级 关系 ， 重 新 为 各 规则 分 配 编号 。 
插入 新 规则 后 ，ACL 3001 新 的 规则 排序 如 下 。 


# 
acl number 3001 match-order auto 
mle 5 deny ip destination 172.16.10.1 0 
rule 10 permit ip destination 172.16.10.0 0.0.0.255 
mle 15 deny ip destination 172.16.0.0 0.0.255.255 
# 


10.8.2 ”ACL 配置 命令 


1. 配置 基本 ACL 的 命令 


使 用 编号 〈2000 一 2999) 创建 一 个 数字 型 的 基本 ACL， 并 进入 基本 ACL 视图 ， 操 作 命 
令 如 下 。 


acl [ number ] aci-number [ match-order { auto | config } ]， 
或 者 使 用 名 称 创建 一 个 命名 型 的 基本 ACL， 并 进入 基本 ACL 视图 操作 命令 为 : 
acl name acl-name { basic | acl-number } [ match-order { auto | config } ]， 


如 果 创 建 ACL 时 未 指定 match-order 参数 ， 则 该 ACL 默认 的 规则 匹配 顺序 为 config; 创建 
ACL 后 , ACL 的 默认 步 长 为 5。 如果 该 值 不 能 满足 管理 员 部 署 ACL 规则 的 需求 , 则 可 以 对 ACL 
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步 长 值 进行 调整 ，〈 可 选 ) 执行 命令 description text， 配 置 ACL 的 描述 信息 。 
配置 基本 ACL 的 规则 的 操作 命令 如 下 。 


mle [ mle-id ] { deny | permit } [ source { source-address source-wildcard | any } | vpn-instance 
vpn-instance-name | [ fragment | none-first-fragment ] | logging | time-range time-name ] 


以 上 步骤 仅 是 一 条 permit/deny 规则 的 配置 步骤 。 实 际 配置 ACL 规则 时 ， 需 根据 具体 的 业 
务 需求 ， 决 定 配置 多 少 条 规则 以 及 规则 的 先后 匹配 顺序 。 

1) ACL 语句 的 删除 

删除 ACL， 系 统 视 图 下 执行 命令 : 


undo acl { [ number ] acl-number | all } 或 undo acl name acl-name 


一 般 可 以 直接 删除 ACL， 不 受 引 用 ACL 的 业务 模块 影响 〈 简 化 流 策 略 中 引用 ACL 指定 
rule 的 情况 除外 ) ， 即 无 须 先 删除 引用 ACL 的 业务 配置 。 

2) 调整 ACL 步 长 

在 网 络 维护 过 程 中 ， 需 要 管理 员 为 原 ACL 添加 新 的 规则 。 由 于 ACL 的 默认 步 长 是 5， 在 
系统 分 配 的 相 邻 编 号 的 规则 之 间 ， 最 多 只 能 插入 4 条 规则 。 调 整 步 长 ， 在 ACL 视图 下 执行 step 
step， 配 置 ACL 步 长 。 

3) 查看 与 清除 ACL 信息 

确认 设备 ACL 资源 的 分 配 情况 ， 在 任意 视图 下 查看 ACL 资源 信息 的 命令 如 下 。 


display acl resource [ slot slot-id] 


若 显示 信息 中 的 计数 非 零 ， 表 示 设 备 仍 存在 空余 的 ACL 资源 。 
确认 需要 清除 ACL 的 运行 信息 后 ， 在 用 户 视 图 下 清除 ACL 统计 信息 的 命令 如 下 。 


Teset acl counter { name acl-name | acl-numpber | all } 


4) 通配符 掩 码 

ACL 规定 使 用 通配符 掩 码 来 说 明子 网 地 址 , 通配符 掩 码 就 是 子 网 掩 码 按 位 取 反 的 结果 。 通 
配 符 掩 码 0.0.0.0 表示 ACL 语句 中 的 32 位 地 址 要 求全 部 匹配 ， 因 而 叫 作 主机 掩 码 。 例 如 : 
192.168.1.1 0.0.0.0 表示 主机 192.168.1.1 的 卫 地址， 实际 上 路 由 器 把 这 个 地 址 转换 为 host 
192.168.1.1， 注 意 这 里 的 关键 字 host。 

通配符 扼 码 255.255.255.255 表示 任意 地 址 都 是 匹配 的 ， 通 常 与 地 址 0.0.0.0 一 起 使 用 ， 例 
如 : 0.0.0.0 255.255.255.255， 路 由 器 将 把 这 个 地 址 转换 为 关键 字 any。 表 10-13 给 出 了 几 个 使 
用 通配符 掩 码 的 例子 。 


组 网 技术 
表 10-13 通配符 掩 码 的 例子 
JP 地址 
0.0.0.0 255.255255255 匹配 任何 地 址 (关键 字 any) 
172.16.1.1 0.0.0.0 匹配 host 172.16.1.1 
172.16.1.0 0.0.0.255 匹配 子 网 172.16.1.0/24 
172.16.2.0 0.0.1.255 匹配 子 网 172.16.2.0/23 (172.16.2.0~172.16.3.255) 


172.16.0.0 0.0.255.255 匹配 子 网 172.16.0.0/16 〈172.16.0.0 一 172.16.255.255) 


2. 配置 基本 ACL 实例 


【 例 10.1】 配 置 基于 源 下 地 址 (主机 地 址 ) 过 滤 报 文 的 规则 。 在 ACL 2001 中 配置 规则 ， 


允许 源 瑟 地 址 是 172.16.10.3 主机 地 址 的 报 文通 过 。 


<Huawei> system-view 
[Huawei] acl 2001 
[Huawei-acl-basic-2001] rule permit source 172.16.10.3 0 


【 例 10.2】 配 置 基于 源 他 地 址 (网 段 地 址 》 过 滤 报 文 的 规则 。 在 ACL 2001 中 配置 规则 ， 
仅 允 许 源 瑟 地 址 是 172.16.10.3 主机 地 址 的 报 文通 过 ， 拒 绝 源 人 P 地 址 是 172.16.10.0/24 网 段 其 


他 地 址 的 报 文通 过 ， 并 配置 ACL 描述 信息 为 Permit only 172.16.10.3 through。 


<Huawei> system-view 

[Huawei] acl 2001 

[Huawei-acl-basic-2001] rule permit source 172.16.10.3 0 
[Huawei-acl-basic-2001] rule deny source 172.16.10.0 0.0.0.255 
[Huawei-acl-basic-2001] description Permit only 172.16.10.3 through 


【 例 10.3】 配 置 基于 时 间 的 ACL 规则 。 创 建 时 间 段 working-time (周一 到 周 五 每 天 8:00 到 
18:00) ， 并 在 名 称 为 work-acl 的 ACL 中 配置 规则 ， 在 working-time 限定 的 时 间 范 围 内 ， 拒 绝 


源 正 地址 是 172.16.10.0/24 网 段 地 址 的 报 文通 过 。 


<Huawei> system-view 
[Huawei] time-range working-time 8:00 to 18:00 working-day 
[Huawei] acl name work-acl basic 


[Huawei-acl-basic-work-acl] rule deny source 172.16.10.0 0.0.0.255 time-range working-time 


【 例 10.4】 配 置 基 于 下 分 片 信息 、 源 下 地 址 (网 段 地 址 ) 过 滤 报 文 的 规则 。 在 ACL 2001 


<Huawei> system-view 


中 配置 规则 ， 拒 绝 源 中 地 址 是 172.16.10.0/24 网 段 地 址 的 非 首 片 分 片 报 文通 过 。 
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[Huawei] acl 2001 
[Huawei-acl-basic-2001] rule deny source 172.16.10.0 0.0.0.255 none-first-fragment 


3. 配置 高 级 ACL 的 命令 语法 


创建 高 级 ACL 与 基本 ACL 相近 似 ， 当 人 P 承载 的 协议 类 型 为 UDP 时 ， 在 配置 高 级 ACL 
规则 时 执行 的 命令 如 下 。 

rule [ rule-id ] { deny | permit }{ protocol-number | udp } [ destination { destination-address 
destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | source 
{ source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | 
logging | time-range time-name | vpn-instance vpn-instance-name | [ dscp dscp | [ tos tos | precedence precedence ] 
* ] | [ fragment | none-first-fragment ] | vni vni-id ] 


当 了 P 承载 的 协议 类 型 为 ICMP、TCP、GRE\NIGMP\IPINIP\IODPF 时 ,命令 格式 同样 包含 了 
(上 层 ) 协议 、 源 和 目标 下 地 址 及 通配符 掩 码 、 协 议 信息 等 内 容 。 

其 中 ， 操 作 符 (operator) 如 表 10-14 所 示 ， 用 于 限定 特定 的 端口 号 。 表 10-15 列 出 了 常用 的 
TCP 和 UDP 端口 号 ， 在 配置 命令 中 使 用 时 可 以 直接 写 端口 号 ， 也 可 以 写 与 协议 对 应 的 关键 字 。 


表 10-14 用 于 TCP 和 UDP 端口 号 的 操作 符 


操 作 符 解释 
lt 不 等 于 
et 指定 范围 
eq 

传输 协议 上 层 协 议 端口 号 命令 参数 关键 字 
TCP 文件 传输 协议 一 一 数据 20 ftp-data 
TCP 文件 传输 协议 一 一 控制 21 fip 
TCP 远程 连接 23 telnet 
TCP 简单 邮件 传输 协议 25 smtp 
UDP 域名 服务 53 dns 
UDP 简单 文件 传输 协议 69 tftp 
TCP 超 文本 传输 协议 80 Www 
UDP 简单 网 络 管理 协议 161 snmp 
UDP 简单 网 络 管理 协议 162 snmp-trap 
UDP 路 由 信息 协议 520 rip 
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4. 配置 高 级 ACL 实例 


【 例 10.5】 配 置 基于 ICMP 协议 类 型 、 源 于 地址 (主机 地 址 ) 和 目的 下 地址 (网 段 地 址 ) 
过 滤 报 文 的 规则 。 在 ACL 3001 中 配置 规则 ， 人 允许 源 中 地 址 是 172.16.10.3 主机 地 址 且 目 的 下 
地 址 是 172.16.20.0/24 网 段 地址 的 ICMP 报 文通 过 。 

<Huawei> system-view 

[Huawei] acl 3001 

[Huawei-acl-adv-3001] rule permit icmp source 172.16.10.3 0 destination 172.16.20.0 0.0.0.255 


【 例 10.6】 配 置 基于 TCP 协议 类 型 、TCP 目的 端口 号 、 源 中 地 址 (主机 地 址 ) 和 目的 正 
地 址 〈 网 段 地 址 ) 过 滤 报 文 的 规则 。 

步骤 1: 在 名 称 为 deny-telnet 的 高 级 ACL 中 配置 规则 ， 拒 绝 他 地址 是 172.16.10.3 的 主机 
与 172.16.20.0/24 网 段 的 主机 建立 Telnet 连接 。 


<Huawei> system-view 

[Huawei] acl name deny-telnet 

[Huawei-acl-adv-deny-telnet] rule deny tcp destination-port eq telnet source 172.16.10.3 0 destination 
172.16.20.0 0.0.0.255 


步骤 2: 在 名 称 为 no-web 的 高 级 ACL 中 配置 规则 , 禁止 172.16.10.3 和 172.16.10.4 两 台 主 
机 访问 Web 网 页 (HTTP 协议 用 于 网 页 浏览 ， 对 应 TCP 端口 号 是 80) ， 并 配置 ACL 描述 信息 


为 Web access restrictions。 


<Huawei> system-view 

[Huawei] acl name no-web 

[Huawei-acl-adv-no-web] description Web access restrictions 
[Huawei-acl-adv-no-web] rule deny tcp destination-port eq 80 source 172.16.10.3 0 
[Huawei-acl-adv-no-web] rule deny tcp destination-port eq 80 source 172.16.10.40 


10.8.3 ”ACL 综合 应 用 


使 用 高 级 ACL 可 以 限制 用 户 在 特定 时 间 访 问 特定 服务 器 。 

【实例 1】 某 公司 通过 Router 实现 各 部 门 之 间 的 互 连 。 公 司 要 求 禁止 销售 部 门 在 上 班 时 间 
(8:00 至 18:00) 访问 工资 查询 服务 器 (IP 地 址 为 192.168.10.10) ， 财 务 部 门 不 受 限制 ， 可 以 随 
时 访问 ， 拓 扑 结构 如 图 10-34 所 示 。 
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财务 部 门 PC 
192. 168. 2.0 


工资 查询 服务 器 
192. 168. 10. 10 


销售 部 门 PC 
192. 168. 1.0 QS 


图 10-34 ”ACL 综合 应 用 实例 1 
步骤 1: 配置 接口 加 入 VLAN， 并 配置 VLANIF 接口 的 中 地址 。 


# 将 Eth2/0/1 一 Eth2/0/2 分 别 加 入 VLAN10、20，Eth2/0/0 加 入 VLAN100， 并 配置 各 VLANIF 接口 
的 下 地 址 。 下 面 配置 以 Eth2/0/1 和 VLANIF 10 接口 为 例 ， 其 他 接口 配置 类 似 

<Huawei> system-view 

[Huawei] sysname R1 

[R1] vlan batch 10 20 100 

[R1] interface ethernet 2/0/1 

[R1-Ethernet2/0/1] port link-type trunk 

[R1-Ethernet2/0/1] port trunk allow-pass vlan 10 

[R1-Ethernet2/0/1] quit 

[R1] interface vlanif 10 

[R1-Vlanifl0] ip address 192.168.1.1 255.255.255.0 

[R1-Vlanif10] quit 


步骤 2， 配置 时 间 段 。 

# 配 置 8:00 至 18:00 的 周期 时 间 段 

[R1] time-range satime 8:00 to 18:00 working-day 
步骤 3: 配置 ACL 规则 。 

# 配 置 销售 部 门 到 工资 查询 服务 器 的 访问 规则 


[R1] acl 3001 
[R1-acl-3001] mle deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.10 0.0.0.0 time-range 
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satime 
[Router-acl-3001] quit 


步骤 4: 配置 基于 ACL 的 流 分 类 。 


# 配 置 流 分 类 c xs， 对 匹配 ACL 3001 的 报 文 进行 分 类 
[R1] traffic classifier c_xs 

[Rl-classifier-c_xs] if-match acl 3001 
[R1-classifier-c_xs] quit 


步骤 5: 配置 流行 为 。 
# 配 置 流 行为 b_xs， 动 作为 拒绝 报 文通 过 
[R1] traffic behaviorb xs 


[R1-behavior-b_ xs] deny 
[Rl1-behavior-b_xs] quit 


步骤 6: 配置 流 策略 。 
# 配 置 流 策略 p_ xs， 将 流 分 类 c_xs 与 流行 为 b_xs 关联 
[R1] traffic policy p_xs 


[R1-trafficpolicy-p_xs] classifier c_xs behavior b_xs 
[R1-trafficpolicy-p_xs] quit 


步骤 7: 应 用 流 策略 。 


# 由 于 销售 部 门 访 问 服务 器 的 流量 从 接口 Eth2/0/1 进入 Router, 所 以 可 以 在 Eth2/0/1 接口 的 入 方向 应 
用 流 策 略 p_xs 

[R1] interface ethernet2/0/1 

[R1-Ethernet2/0/1] traffic-policy p_xs inbound 

[R1-Ethernet2/0/1] quit 


步骤 8: 检查 配置 结果 。 


# 查 看 ACL 规则 的 配置 信息 
[R1] display acl all 
Total quantity of nonempty ACL number is 1 


Advanced ACL 3001, 1 mle 
Acl's stepis 5 
mle 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.10 0 time-range satime(Active) 


国 534 项 。 网 络 工 程 岳 教程 (第 5 版) 


# 查 看 流 策略 的 应 用 信息 
[R1] display traffic-policy applied-record 
Policy Name: Dp xs 
Policy Index: 6 
Classifier:c_ xs Behavior:b xs 


*interface Ethernet2/0/1 
traffic-policy p_xs inbound 
slot 0 : Success 


【实例 2】 通 过 园区 网 络 连接 到 多 个 运营 商 时 ， 使 用 策略 路 由 实现 分 流 ， 如 图 10-35 所 示 。 


100. 120. 111. 10 


172. 16. 0.0 
企业 内 部 网 Eth2/0/O) 愉 
172. 17. 0.0 Na 


图 10-35 ”ACL 综合 应 用 实例 2 


某 企业 通过 路 由 器 R1 连接 互联 网 ， 由 于 业务 需要 ， 与 两 家 运营 商 ISP A 和 ISP B 相连 。 
企业 网 内 的 数据 流 从 业务 类 型 上 可 以 分 为 两 类 ， 一 类 来 自 于 网 络 172.16.0.0/116， 另 一 类 来 自 于 
网 络 172.17.0.0/16。 对 于 来 自 于 172.16.0.0/16 网 络 的 数据 流 , 管理 员 希 望 其 能 够 通过 运营 商 ISP 
A 访问 Internet， 而 对 于 来 自 172.17.0.0/16 网 络 的 数据 流 ， 管 理 员 希 望 其 通过 运营 商 ISP B 访问 
Internet。 

步骤 1: 创建 ACL， 匹 配 两 个 网 段 。 


[Rl]asl2015 
[R1-acl-basic-2015]rule 5 permit source 172.16.0.0 0.0.255.255 
[Rl1-acl-basic-2015]quit 
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[R1]acl 2016 
[R1-acl-basic-2016]mle 5 permit source 172.17.0.0 0.0.255.255 
[Rl1-acl-basic-2016]quit 


步骤 2: 在 Rl 创建 流 分 类 ， 匹 配 ACL 命中 的 流量 。 


[R1]traffic classifier cl 

[R1- classifier-cl]ifmatch acl 2015 
[R1- classifier-cl]quit 

[R1]traffic classifier c2 

[R1- classifier-c2]if-match acl 2016 
[R1- classifier-c2]quit 


步骤 3: 创建 流行 为 ， 配 置 重 定向 。 


[R1]traffic behavior bl 

[R1- behavior-bl lredirect ip-nexthop 100.120.111.10 
[R1- behavior-bl]quit 

[R1]traffic behavior b2 

[R1- behavior-b2]redirect ip-nexthop 200.123.125.129 
[R1- behavior-b2]quit 


步骤 4: 创建 流 策略 ， 在 接口 上 应 用 流 策 略 。 


[R1] traffic policy pl 

[R1-trafficpolicy-p1] classifier cl behavior bl 
[R1l-tra 包 cpolicy-p1] classifier c2 behavior b2 
[R1-trafficpolicy-p1] quit 

[R1] interface Ethernet 2/0/0 

[R1- Ethernet 2/0/0] traffic pl inbound 

[R1- Ethemet 2/0/0] quit 


步骤 5: 检查 配置 。 
在 路 由 器 Rl1 上 使 用 display traffc-policy applied-record 流 策略 生效 情况 ， 通 过 检查 可 以 看 
到 两 条 流 策略 状态 都 是 success， 确 定 配置 正确 。 


[R1] display traffic-policy applied-record 


Policy Name : pl 
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Policy Index : 4 
Classifier:c1l Behaviorb1l 
Classifier:c2 Behavior:b2 


Interface Ethernet2/0/0 
traffic-policy pl inbound 

slot 15: success 

slot 5: success 
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计算 机 网 络 的 组 成 越 来 越 复杂 ， 一 方面 是 网 络 互 连 的 规模 越 来 越 大 ， 另 一 方面 是 联网 设备 
越 来 越 多 种 多 样 。 异 构 型 的 网 络 设备 、 多 协议 栈 互 连 、 性 能 需求 不 同 的 各 种 网 络 业务 更 增加 了 
网 络 管理 的 难度 和 管理 费用 ， 单 靠 管 理 员 手工 管理 已 经 无 能 为 力 。 所以, 研究 网 络 管理 的 理论 ， 
开发 先进 的 网 络 管理 技术 ， 采 用 自动 化 的 网 络 管理 工具 就 是 一 项 迫切 的 任务 了 。 本 章 讲述 网 络 
管理 系统 的 体系 结构 、 管 理 信息 库 和 SNMP 协议 、 网 络 管理 工具 的 使 用 方法 ， 以 及 网 络 系统 的 
可 靠 性 和 网 络 存储 的 基本 概念 。 


11.1 网 络 管理 系统 体系 结构 


11.1.1 网 络 管理 系统 的 层次 结构 


网 络 管理 系统 组 织 成 如 图 11-1 所 示 的 层次 结构 。 在 网 络 管理 站 中 最 下 层 是 操作 系统 和 硬 
件 。 操 作 系统 之 上 是 支持 网 络 管理 的 协议 艇 ， 例 如 OSI、TCP/P 等 通信 协议 ， 以 及 专用 于 网 络 
管理 的 SNMP、CMIP 协议 等 。 协 议 栈 上 面 是 网 络 管理 框架 (Network Management Framework )， 
这 是 各 种 网 络 管理 应 用 工作 的 基础 结构 。 


避 | 


管理 站 OSURM 
| .| 应用 县 
网 络 管理 应 用 = 
表示 层 
会 
网 络 管理 框架 Sse 
传输 层 
代理 系统 蕊 这 这 提 [Re 
数据 链 路 层 
被 管理 的 资源 wma 有 
图 11-1 网 络 管理 系统 的 层次 结构 


各 种 网 络 管理 框架 的 共同 特点 如 下 。 
(1) 管理 功能 分 为 管理 站 (Manager) 和 代理 (Agent) 两 部 分 。 
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(2) 为 存储 管理 信息 提供 数据 库 支 持 ， 例 如 关系 数据 库 或 面向 对 象 的 数据 库 。 

(3) 提供 用 户 接口 和 用 户 视图 (View) 功能 ， 例 如 管理 信息 浏览 器 。 

(4) 提供 基本 的 管理 操作 ， 例 如 获取 管理 信息 、 配 置 设备 参数 等 操作 过 程 。 

网 络 管理 应 用 是 用 户 根据 需要 开发 的 软件 ， 这 种 软件 运行 在 具体 的 网 络 上 ， 实 现 特定 的 管 
理 目 标 ， 例 如 故障 诊断 和 性 能 优化 ， 或 者 业务 管理 和 安全 控制 等 。 

图 11-1 把 被 管理 资源 画 在 单独 的 框 中 ， 表 明 被 管理 资源 可 能 与 管理 站 处 于 不 同 的 系统 中 。 
网 络 管理 涉及 监视 和 控制 网 络 中 的 各 种 硬件 、 固 件 和 软件 元 素 ， 例 如 网 卡 、 集 线 器 、 中 继 器 、 
主机 、 外 围 设备 、 通 信 软 件 、 应 用 软件 和 实现 网 络 互 连 中 间 件 等 。 有 关 资 源 的 管理 信息 由 代理 
进程 控制 ， 代 理 进程 通过 网 络 管理 协议 与 管理 站 对 话 。 


11.1.2 网络 管理 系统 的 配置 


网 络 管理 系统 的 配置 如 图 11-2 所 示 。 每 一 个 网 络 节点 都 包含 一 组 与 管理 有 关 的 软件 , 叫 作 
网 络 管理 实体 (Network Management Entity, NME )。 


网 络 管理 站 Ee 
LE 


工作 站 网 络 设备 
(代理 ) (代理 ) 
图 11-2 网 络 管理 系统 配置 
网 络 管理 实体 完成 下 面 的 任务 : 


(1) 收集 有 关 网 络 通信 的 统计 信息 。 
(2) 对 本 地 设备 进行 测试 ， 记 录 设 备 状态 信息 。 
(3) 在 本 地 存储 有 关 信 息 。 
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(4) 响应 网 络 控制 中 心 的 请 求 ， 发 送 管理 信息 。 

(5) 根据 网 络 控制 中 心 的 指令 设置 或 改变 设备 参数 。 

网 络 中 至 少 有 一 个 节点 (主机 或 路 由 器 ) 担当 管理 站 的 角色 (Manager)。 除 了 NME 之 外 ， 
管理 站 中 还 有 一 组 软件 ， 叫 作 网 络 管理 应 用 (Network Management Application, NMA)。NMA 
提供 用 户 接口 ， 根 据 用 户 的 命令 显示 管理 信息 ， 通 过 网 络 向 NME 发 出 请 求 或 指令 ， 以 便 获 取 
有 关 设 备 的 管理 信息 ， 或 者 改变 设备 的 配置 状态 。 

网 络 中 的 其 他 节点 在 NME 的 控制 下 与 管理 站 通信 ， 交 换 管理 信息 。 这 些 节点 中 的 NME 
模块 叫 作 代 理 模块 ， 网 络 中 任何 被 管理 的 设备 〈 主 机 、 交 换 机 、 路 由 器 或 集线器 等 ) 都 必须 实 
现代 理 模块 。 所 有 代理 在 管理 站 监视 和 控制 下 协同 工作 ， 实 现 集成 的 网 络 管理 。 这 种 集中 式 网 
络 管理 策略 的 好 处 是 管理 人 员 可 以 有 效 地 控制 整个 网 络 资源 ， 根 据 需 要 平衡 网 络 负载 ， 优 化 网 
络 性 能 。 

然而 对 于 大 型 网 络 ， 集 中 式 管 理 往往 显得 力不从心 ， 正 在 让 位 于 分 布 式 的 网 络 管理 策略 。 
这 种 向 分 布 式 管理 演化 的 趋势 与 集中 式 计 算 模型 向 分 布 式 计算 模型 演化 的 总 趋势 是 一 致 的 。 图 
11-3 提出 了 一 种 可 能 的 分 布 式 网 络 管理 配置 方案 。 


网 络 管理 客户 端 (PC 或 工作 站 ) 


运行 代理 进程 的 网 络 资源 ( 服务 器 、 路 由 器 .工作 站 ) 


图 11-3 分 布 式 网 络 管理 系统 
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在 这 种 配置 中 ， 分 布 式 管理 系统 代替 了 单独 的 网 络 控制 主机 。 地 理 上 分 布 的 网 络 管理 客户 
端 与 一 组 网 络 管理 服务 器 交互 作用 ， 共 同 完成 网 络 管理 功能 。 这 种 管理 策略 可 以 实现 分 部 门 管 
理 ， 即 限制 每 个 客户 端 只 能 访问 和 管理 本 部 门 的 部 分 网 络 资源 ， 而 由 一 个 中 心 管理 站 实施 全 局 
管理 。 同 时 ， 中 心 管理 站 还 能 对 管理 功能 较 弱 的 客户 端 发 出 指令 ， 实 现 更 高 级 的 管理 。 分 布 式 
网 络 管理 的 灵活 性 (Flexibility) 和 可 伸缩 性 〈Scalability) 带 来 的 好 处 日 益 为 网 络 管理 工作 者 所 
青睐 ， 这 方面 的 研究 和 开发 是 目前 网 络 管理 中 最 活跃 的 领域 。 

图 11-2 和 图 11-3 中 的 系统 要 求 每 个 被 管理 的 设备 都 能 运行 代理 程序 ， 并 且 所 有 管理 站 和 
代理 都 支持 相同 的 管理 协议 。 这 种 要 求 有 时 是 无 法 实现 的 。 例 如 ， 有 的 旧 设 备 可 能 不 支持 当前 
的 网 络 管理 标准 ， 小 的 系统 可 能 无 法 完整 实现 NME 的 全 部 功能 ， 甚 至 还 有 一 些 设备 〈 例 如 
Modem 和 多 路 器 等 ) 根本 不 能 运行 附加 的 软件 ， 把 这 些 设备 叫 作 非 标准 设备 。 在 这 种 情况 下 ， 
通常 的 处 理 方法 是 用 一 个 叫 作 委托 代理 的 设备 (Proxy) 来 管理 一 个 或 多 个 非 标准 设备 。 委 托 代 
理 和 非 标准 设备 之 间 运 行 制造 商 专用 的 协议 ， 而 委托 代理 和 管理 站 之 间 运 行 标准 的 网 络 管理 协 
议 。 这 样 ， 管 理 站 就 可 以 用 标准 的 方式 通过 委托 代理 得 到 非 标准 设备 的 信息 。 委 托 代理 起 到 了 
协议 转换 的 作用 ， 如 图 11-4 所 示 。 


专用 管理 协议 
被 管理 设备 


图 11-4 委托 代理 


11.1.3 ”网 络 管理 软件 的 结构 


这 里 所 说 的 网 络 管理 软件 包括 用 户 接口 软件 、 管 理 专用 软件 和 管理 支持 软件 ， 如 图 11-5 
所 示 ， 大 约 相当 于 图 11-1 中 管理 站 的 上 三 层 。 

用 户 通过 网 络 管理 接口 与 管理 专用 软件 交互 作用 ， 监 视 和 控制 网 络 资源 。 接 口 软件 不 仅 存 
在 于 管理 站 上 ， 而 且 也 可 能 出 现在 代理 系统 中 ， 以 便 对 网 络 资源 实施 本 地 配置 、 测 试 和 排 错 。 
有 效 的 网 络 管理 系统 需要 统一 的 用 户 接口 ， 而 不 论 主机 和 设备 出 自 何方 三 家 ， 运 行 什么 操作 系 
统 ， 这 样 才 可 以 方便 地 对 异 构 型 网 络 进行 监控 。 接 口 软件 还 要 有 一 定 的 信息 处 理 能 力 ， 对 大 量 
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的 管理 信息 要 进行 过 滤 、 统 计 、 化 简 和 汇总 ， 以 免 传 递 的 信息 量 太 大 而 阻塞 网 络 通道 。 最 后 ， 
理想 的 用 户 接口 应 该 是 图 形 用 户 接口 ， 而 非 命令 行 或 表格 形式 。 


网 络 管理 信息 表示 


网 络 管理 网 络 管理 
应 用 应 用 
应 用 元 素 应 用 元 素 | | 应 用 元 素 


网 络 管理 数据 传输 服务 


MIB 访 问 模块 通信 协议 站 


网 络 管理 信息 库 被 管理 的 网 络 


0 


图 11-5 ”网络 管理 软件 的 结构 


管理 专用 软件 画 在 图 11-5 中 心 的 大 方 框 中 。 足 够 复杂 的 网 管 软件 可 以 支持 多 种 网 络 管理 应 
用 ， 例 如 配置 管理 、 性 能 管理 和 故障 管理 等 。 这 些 应 用 能 适用 于 各 种 网 络 设备 和 网 络 配 置 ， 虽 
然 在 实现 细节 上 可 能 有 所 不 同 。 图 11-5 还 表示 出 用 大 量 的 应 用 元 素 支 持 少量 管理 应 用 的 设计 思 
想 。 应 用 元 素 实 现 通 用 的 基本 管理 功能 (例如 产生 报警 、 对 数据 进行 分 析 等 )， 可 以 被 多 个 应 
用 程序 调用 。 传 统 的 模块 化 设计 方法 可 提高 软件 的 重用 性 ， 提 高 实现 的 效率 。 网 络 管理 软件 的 
最 低层 提供 网 络 管理 数据 传输 服务 ， 用 于 在 管理 站 和 代理 之 间 交 换 管理 信息 。 管 理 站 利用 这 种 
服务 接口 可 以 检索 设备 信息 ， 配 置 设备 参数 ， 代 理 则 通过 服务 接口 向 管理 站 报告 设备 事件 。 

管理 支持 软件 包括 MIB 访问 模块 和 通信 协议 栈 。 代 理 中 的 管理 信息 库 〈Management 
Information Base，MIB) 包含 反映 设备 配置 和 设备 行为 的 信息 ， 以 及 控制 设备 操作 的 参数 。 管 
理 站 的 MIB 中 除了 保留 本 地 节点 专用 的 管理 信息 外 , 还 保存 着 管理 站 控制 的 所 有 代理 的 相关 信 
息 。MIB 访问 模块 具有 基本 的 文件 管理 功能 ， 使 得 管理 站 或 代理 可 以 访问 MIB， 同 时 该 模块 还 
能 把 本 地 的 MIB 格式 转换 为 适 于 网 络 管理 系统 传送 的 标准 格式 。 通 信 协 议 栈 支持 节点 之 间 的 通 
信 。 由 于 网 络 管理 协议 位 于 应 用 层 ， 原 则 上 任何 通信 体系 结构 都 能 胜任 ， 虽 然 具 体 的 实现 可 能 
有 特殊 的 通信 要 求 。 
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11.2 ”网 络 监控 系统 的 组 成 


网 络 管理 功能 可 分 为 网 络 监视 和 网 络 控制 两 大 部 分 , 统称 网 络 监控 (Network Monitoring)。 
网 络 监视 是 指 收集 系统 和 子 网 的 状态 信息 ， 分 析 被 管理 设备 的 行为 ， 以 便 发 现 网 络 运行 中 存在 
的 问题 。 网 络 控制 是 指 修改 设备 参数 或 重新 配置 网 络 资源 ， 以 便 改善 网 络 的 运行 状态 。 具 体 来 
说 ， 网 络 监控 要 解决 的 问题 如 下 。 

(1) 管理 信息 的 定义 。 监 视 哪些 管理 信息 ， 从 哪些 被 管理 资源 获得 管理 信息 。 

(2) 监控 机 制 的 设计 。 如 何 从 被 管理 资源 得 到 需要 的 信息 。 

(3) 管理 信息 的 应 用 。 根 据 收集 到 的 管理 信息 实现 什么 管理 功能 。 

下 面 首先 说 明 前 两 个 问题 ， 即 管理 信息 的 定义 和 监控 机 制 。 


11.2.1 管理 信息 的 组 成 


对 网 络 监控 有 用 的 管理 信息 可 以 分 为 以 下 3 类 

(1) 静态 信息 。 包 括 系统 和 网 络 的 配置 信息 ， 例 如 路 由 器 的 端口 数 和 端口 编号 ， 工 作 站 的 
标识 和 CPU 类 型 等 ， 这 些 信息 不 经 常 变化 。 

(2) 动态 信息 。 与 网 络 中 出 现 的 事件 和 设备 的 工作 状态 有 关 ， 例 如 网 络 中 传送 的 分 组 数 、 
网 络 连接 的 状态 等 。 

(3) 统计 信息 。 即 从 动态 信息 推导 出 的 信息 ， 例 如 平均 每 分 钟 发 送 的 分 组 数 、 传 输 失败 的 
概率 等 。 

这 些 信息 组 成 的 管理 信息 库 如 图 11-6 所 示 。 配 置 数 据 库 中 存储 着 计算 机 和 网 络 的 基本 配置 
信息 ， 传 感 器 数据 库 中 存储 着 传感器 的 设置 信息 。 传 感 器 是 一 组 软件 ， 用 于 实时 地 读 取 被 管理 
设备 的 有 关 参 数 。 配 置 数据 库 和 传感器 数据 库 共同 组 成 静态 数据 库 。 动 态 数 据 库 存储 着 由 传 感 
器 收集 的 各 种 网 络 元 素 和 网 络 事件 的 实时 数据 。 统 计数 据 库 中 的 管理 信息 是 由 动态 信息 计算 出 
来 的 。 图 11-6 表示 出 这 3 种 数据 库 的 关系 。 

网 络 监控 功能 一 方面 要 确定 从 哪里 收集 管理 信息 ， 另 一 方面 还 要 确定 管理 信息 应 该 存储 在 
什么 地 方 。 静 态 信息 是 由 网 络 元 素 直接 产生 的 ， 通 常 由 驻 留 在 这 些 网 络 元 素 〈 例 如 路 由 器 ) 中 
的 代理 进程 收集 和 存储 , 必要 时 传送 给 监视 器 。 如果 网 络 元 素 (例如 Modem) 中 没有 代理 进程 ， 
则 可 以 由 委托 代理 收集 这 些 静 态 信 息 ， 并 传送 给 监视 器 。 

动态 信息 通常 也 是 由 产生 有 关 事件 的 网 络 元 素 收集 和 存储 的 。 例 如 ， 工 作 站 建立 的 网 络 连 
接 数 就 存储 在 该 工作 站 中 。 然 而 对 于 一 个 局 域 网 来 说 ， 网 络 中 各 个 设备 的 行为 和 有 关 数 据 可 以 
由 连接 在 网 络 中 的 一 个 专用 主机 来 收集 和 记录 ， 这 个 主机 叫 作 远程 网 络 监视 器 ， 它 的 作用 是 收 
集 整个 子 网 的 通信 数据 ， 例 如 一 段 时 间 内 一 对 主机 交换 的 分 组 数 ， 或 网 络 中 出 现 的 冲突 次 数 等 。 
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管理 信息 库 
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配置 数据 库 
交换 服务 器 缓冲 区 信息 
工作 站 妃 置 信息 
路 由 器 配置 信息 


图 11-6 管理 信息 库 的 组 成 


统计 信息 可 以 由 任何 能 够 访问 动态 信息 的 系统 产生 。 当 然 ， 统 计 信息 也 可 以 由 网 络 监视 器 
自己 产生 ， 这 就 要 求 把 所 有 需要 的 原始 数据 传送 给 监视 器 ， 再 由 监视 器 进行 分 析 和 计算 。 如 果 
原始 数据 的 量 很 大 ， 则 这 种 监控 方式 可 能 会 消耗 很 多 网 络 带宽 。 如 果 对 存储 动态 信息 的 系统 进 
行 了 分 析 和 计算 ， 则 不 仅 节约 了 网 络 带宽 ， 而 且 也 节省 了 监视 器 的 处 理 时 间 。 

11.2.2 ”网络 监控 系统 的 配置 


网 络 监控 系统 的 配置 如 图 11-7 (a) 所 示 。 监 控 应 用 程序 是 监控 系统 的 用 户 接口 ， 它 完成 
性 能 监视 、 故 障 监视 和 计 费 监视 等 功能 。 管 理 功能 负责 与 其 他 网 络 元 素 中 的 代理 进程 通信 ， 把 
需要 的 监控 信息 提供 给 监控 应 用 程序 。 这 两 个 模块 都 处 于 管理 站 中 。 管 理 对 象 表示 被 监控 的 网 
络 资源 中 的 管理 信息 ， 所 有 管理 对 象 遵 从 网 络 管理 标准 的 规定 。 管 理 对 象 中 的 信息 通过 代理 功 
能 提供 给 管理 站 。 图 11-7 (b) 中 增加 了 监控 代理 功能 。 这 个 模块 的 作用 是 专门 对 管理 信息 进 
行 计算 和 统计 分 析 ， 并 且 把 计算 的 结果 提供 给 管理 站 。 在 管理 站 来 看 ， 监 控 代理 的 作用 和 一 般 
代理 是 一 样 的 ， 然 而 它 管理 着 多 个 代理 系统 。 
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图 11-7 ”网 络 监控 系统 的 体系 结构 


实际 上 ， 这 些 功 能 模块 可 以 处 于 不 同 的 网 络 元 素 中 ， 组 成 多 种 形式 的 监控 系统 。 如 果 管 理 
站 本 身 就 是 一 个 被 监控 的 网 络 元 素 ， 则 它 应 该 包含 监控 应 用 程序 、 管 理 功能 、 代 理 进程 以 及 一 
组 反映 自身 管理 信息 的 对 象 。 监 视 器 的 状态 和 行为 对 整个 网 络 监控 系统 的 性 能 起 决定 作用 ， 因 
而 监视 器 也 应 该 时 刻 监视 自身 的 通信 情况 。 一 般 情 况 下 ， 监 视 器 与 代理 系统 处 于 不 同 的 网 络 元 
素 中 ， 它 们 通过 网 络 交换 管理 信息 。 另 外 ， 一 个 管理 站 /监视 器 可 以 监控 多 个 代理 系统 ， 也 可 以 
只 监控 一 个 代理 系统 ， 而 一 个 代理 系统 可 能 代理 一 个 或 多 个 网 络 元 素 ， 甚 至 代理 整个 局 域 网 ; 
监视 器 可 能 与 被 监控 的 网 络 元 素 处 于 同一 子 网 中 ， 也 可 能 通过 远程 网 络 互 连 。 

11.2.3 网络 监 控 系 统 的 通信 机 制 


对 监视 器 有 用 的 管理 信息 是 由 代理 收集 和 存储 的 ， 那 么 代理 怎样 把 这 些 信息 传送 给 监视 器 
呢 ? 有 两 种 技术 可 用 于 代理 和 监视 器 之 间 的 通信 。 一 种 叫 作 轮 询 (Polling)， 另 一 种 叫 作 事件 报 
告 (Event Reporting)。 轮 询 是 一 种 请 求 一 响应 式 的 交互 作用 ， 即 由 监视 器 向 代理 发 出 请 求 ， 询 
问 它 所 需要 的 信息 数值 , 代理 响应 监视 器 的 请 求 , 从 它 所 保存 的 管理 信息 库 中 取得 请 求 的 信息 ， 
返回 给 监视 器 。 请 求 可 以 采用 各 种 不 同 的 形式 ， 例 如 列 出 一 些 变量 的 名 字 ， 要 求 代理 返回 变量 
的 值 。 或 者 给 出 一 种 匹配 模式 ， 要 求 代理 搜索 与 模式 匹配 的 所 有 变量 的 值 。 监 视 器 可 能 要 查询 
它 所 管理 的 系统 的 配置 ， 或 者 周期 地 询问 被 管理 系统 配置 改变 的 情况 ;监视 器 也 可 能 在 收 到 一 
个 报警 后 用 轮 询 方式 详细 调查 某 个 区 域 的 真实 情况 ， 或 者 根据 用 户 的 要 求 通过 轮 询 生 成 一 个 配 
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第 件 报告 是 由 代理 主动 发 送 给 管理 站 的 消息 。 代理 可 以 根据 管理 站 的 要 求 ( 周 期 、 内容 等 ) 
定时 地 发 送 状 态 报告 ， 也 可 能 在 检测 到 某 些 特定 事件 (例如 状态 改变 ) 或 非 正常 事件 〈 例 如 出 
现 故 障 ) 时 生成 事件 报告 ， 发 送 给 管理 站 。 事 件 报告 对 于 及 时 发 现 网 络 中 的 问题 是 很 有 用 的 ， 
特别 是 对 于 监控 状态 信息 不 经 常 改 变 的 管理 对 象 更 有 效 。 

在 已 有 的 各 种 网 络 监控 系统 中 都 设置 了 轮 询 和 事件 报告 两 种 通信 机 制 ， 但 强调 的 重点 有 所 
不 同 。 传 统 的 通信 管理 网 络 主要 依赖 事件 报告 ， 而 SNMP 强调 轮 询 方法 ，OSI 系 统管 理 则 采取 
了 这 两 种 极端 方法 的 中 间 道 路 。 然 而 无 论 是 SNMP 或 是 OSI， 以 及 某 些 专用 的 管理 系统 都 允许 
用 户 根据 具体 情况 决定 使 用 何 种 通信 方式 。 影 响 通信 方式 选择 的 主要 因素 如 下 。 

(1) 传送 监控 信息 需要 的 通信 量 。 

(2) 对 危急 情况 的 处 理 能 力 。 

(3) 对 网 络 管理 站 的 通信 时 延 。 

(4) 被 管理 设备 的 处 理工 作 量 。 

(5) 消息 传输 的 可 靠 性 。 

(6) 网 络 管理 应 用 的 特殊 性 。 

(7) 在 发 送 消息 之 前 通信 设备 失效 的 可 能 性 。 


11.3 ”网 络 管理 功能 域 


jn 


网 络 管理 有 5 大 功能 域 ， 即 故障 管理 (Fault Management)、 配 置 管理 (Configuration 
Management)、 计 费 管 理 〈Accounting Management)、 性 能 管理 (Performance Management) 和 
安全 管理 (Security Management)， 简 写 为 F-CAPS。 传 统 上 ， 性 能 、 故 障 和 计 费 管理 属于 网 络 
监视 功能 ， 另 外 两 种 属于 网 络 控制 功能 。 


11.3.1 ”性 能 管理 


网 络 监 视 中 最 重要 的 是 性 能 监视 , 然而 要 能 够 准确 地 测量 出 对 网 络 管理 有 用 的 性 能 参数 却 
是 不 容易 的 。 可 选择 的 性 能 指标 很 多 ， 有 些 很 难 测量 ， 或 计算 量 很 大 ， 但 不 一 定 很 有 用 ;有 些 
有 用 的 指标 则 没有 得 到 制造 商 的 支持 , 无 法 从 现 有 的 设备 上 检测 到 。 还 有 些 性 能 指标 互相 关联 ， 
要 互相 参照 才能 说 明 问 题 。 这 些 情 况 都 增加 了 性 能 测量 的 复杂 性 。 这 一 小 节 介绍 性 能 管理 的 基 
本 概念 ， 给 出 对 网 络 管理 有 用 的 两 类 性 能 指标 : 面向 服务 的 性 能 指标 和 面向 效率 的 性 能 指标 。 
当然 ， 网 络 最 主要 的 目标 是 向 用 户 提供 满意 的 服务 ， 因 而 面向 服务 的 性 能 指标 应 具有 较 高 的 优 
先 级 。 下 面前 3 个 指标 是 面向 服务 的 性 能 指标 ， 后 两 个 是 面向 效率 的 性 能 指标 。 
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1. 可 用 性 


可 用 性 是 指 网 络 系统 、 网 络 元 素 或 网 络 应 用 对 用 户 可 利用 的 时 间 的 百分比 。 有 些 应 用 对 可 
用 性 很 敏感 ， 例 如 飞机 订 票 系统 ， 若 宕 机 一 小 时 ， 就 可 能 减少 数 十 万 元 的 票 款 ; 而 股票 交易 系 
统 如 果 中 断 运行 一 分 钟 ， 就 可 能 造成 几 千 万 元 的 损失 。 实 际 上 ， 可 用 性 是 网 络 元 素 可 靠 性 的 表 
现 ， 而 可 靠 性 是 指 网 络 元 素 在 具体 条 件 下 完成 特定 功能 的 概率 。 如 果 用 平均 无 故障 时 间 MTBF 
(Mean Time Between Failure) 来 度量 网 络 元 素 的 故障 率 ， 则 可 用 性 4 可 表示 为 MTBF 的 函数 。 

MTBF 
~ MTBF+ MTTR 
其 中 ，MTTR (Mean Time To Repair) 为 发 生 失 效 后 的 平均 维修 时 间 。 由 于 网 络 系统 由 许多 网 
络 元 素 组 成 , 所 以 系统 的 可 靠 性 不 仅 与 各 个 元 素 的 可 靠 性 有 关 , 还 与 网 络 元 素 的 组 织 形 式 有 关 。 
根据 一 般 可 靠 性 理论 ， 由 元 素 串 、 并 联 组 成 的 系统 的 可 用 性 与 网 络 元 素 的 可 用 性 之 间 的 关系 如 
图 11-8 所 示 。 从 图 11-8 (a) 可 以 看 出 ， 若 两 个 元 素 串 联 ， 则 可 用 性 减少 。 例 如 ， 两 个 Modem 
串联 在 链 路 的 两 端 ， 若 单个 Modem 的 可 用 性 4=0.98， 并 假定 链 路 其 他 部 分 的 可 用 性 为 1， 则 
整个 链 路 的 可 用 性 4=0.98X0.98=0.9604。 从 图 11-8 (b) 可 以 看 出 ， 若 两 个 元 素 并 联 ， 则 可 用 
性 增加 。 例 如 ， 终 端 通过 两 条 链 路 连接 到 主机 ， 若 一 条 链 路 失效 ， 另 外 一 条 链 路 自动 备份 。 假 
定单 个 链 路 的 可 用 性 4=0.98， 则 双 链 路 的 可 用 性 
A=2 X 0.98-0.98X0.98=1.96-0.960 4=0.9996 


4 
六 24 一 全 
4 四 


(a) 串联 (b) 并 联 
图 11-8 ”品行 和 并 行 连接 的 可 用 性 


【 例 11.1】 计算 双 链 路 并 联系 统 的 处 理 能 力 。 假定 一 个 多 路 器 通过 两 条 链 路 连接 到 主机 (如 
图 11-8 (b) 所 示 )。 在 主机 业务 的 峰值 时 段 ， 一 条 链 路 只 能 处 理 总 业务 量 的 80%， 因 而 需要 两 
条 链 路 同时 工作 才能 处 理 主机 的 全 部 传送 请 求 。 非 峰值 时 段 大 约 占 整个 工作 时 间 的 40%， 只 需 
要 一 条 链 路 工作 就 可 以 处 理 全 部 业务 。 这 样 ， 整 个 系统 的 可 用 性 4/ 可 表示 如 下 : 
4/=〈 一 条 链 路 的 处 理 能 力 ) X 〈 一 条 链 路 工作 的 概率 ) 十 
(两 条 链 路 的 处 理 能 力 )X 〈 两 条 链 路 工作 的 概率 ) 
假定 一 条 链 路 的 可 用 性 为 4=0.9,， 则 两 条 链 路 同时 工作 的 概率 为 4=0.81, 而 恰好 有 一 条 链 
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路 工作 的 概率 为 4 (1-4) + (1-4) 4-24-242-0.18。 则 有 
A ( 非 峰值 时 段 ) =1.0X0.18+1.0X0.81=0.99 
Af〈 峰 值 时 段 )=0.8X0.18+1.0X0.81=0.954 
于 是 系统 的 平均 可 用 性 为 
A410.6XA4 (峰值 时 段 ，+0.4XA4j ( 非 峰 值 时 段 ) =0.9684 


2， 响 应 时 间 


响应 时 间 是 指 从 用 户 输入 请 求 到 系统 在 终端 上 返回 计算 结果 的 时 间 间 隔 。 从 用 户 角度 看 ， 
这 个 时 间 要 和 人 们 的 思考 时 间 (等 于 两 次 输入 之 间 的 最 小 间隔 时 间 ) 配合 , 越 是 简单 的 工作 ( 例 
如 数据 输入 ) 要 求 响应 时 间 越 短 。 然 而 从 实现 角度 看 ， 响 应 时 间 越 短 ， 实 现 的 代价 越 大 。 研 究 
表明 ， 系 统 响应 时 间 对 人 的 生产 率 的 影响 是 很 大 的 。 在 交互 式 应 用 中 ， 响 应 时 间 大 于 15s， 大 多 
数 人 是 不 能 容忍 的 。 响应 时 间 大 于 4s 时 , 人 们 的 短期 记忆 会 受到 影响 , 工作 的 连续 性 会 被 破坏 。 
尤其 是 对 数据 输入 人 员 来 说 ， 这 种 情况 下 击 键 的 速度 会 严重 受挫 ， 只 是 在 输入 完 一 个 段落 后 才 
可 以 有 比较 大 的 延迟 (例如 4s 以 上 )。 越 是 注意 力 高 度 集中 的 工作 ， 要 求 响应 时 间 越 短 。 特 别 
是 对 于 需要 记 住 以 前 的 响应 ， 根 据 前 面 的 响应 决定 下 一 步 的 输入 时 ， 延 迟 时 间 应 该 小 于 2s。 在 
用 鼠标 单 击 图 形 或 进行 键盘 输入 时 ， 要 求 的 响应 时 间 更 小 ， 可 能 在 0.1s 以 下 。 这 样 人 们 会 感到 
计算 机 是 同步 工作 的 ， 几 乎 没有 等 待 时 间 。 图 11-9 表示 应 用 CAD 进行 集成 电路 设计 时 生产 
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图 11-9 系统 响应 时 间 与 生产 率 的 关系 
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率 (每 小 时 完成 的 事务 处 理 数 ) 与 响应 时 间 的 关系 。 可 以 看 出 ， 当 响应 时 间 小 于 1s 时 事务 处 理 


的 速率 明显 加 快 ， 这 和 人 的 短期 记忆 以 及 注意 力 集中 的 程度 有 关 。 
网 络 的 响应 时 间 由 系统 各 个 部 分 的 处 理 延 迟 时 间 组 成 , 分 解 系统 响应 时 间 的 成 分 对 于 确定 
系统 瓶颈 有 用 。 图 11-10 表示 出 系统 响应 时 间 RT 由 7 部 分 组 成 。 


T=== DO WO 


机 | manas (网 桥 ) 服 和 于 
| | 
TI CPU 


RT=THWIHSHCPU+WO+SO+TO 


RT: 响应 时 间 CPU: CPU 处 理 延 迟 
TI: 入 口 终端 延迟 WO: 出 口 排队 时 间 
WI: 入 口 排 队 时 间 SO: 出 口服 务 时 间 
SI: 入 口服 务 时 间 TO: 出 口 终端 延迟 


图 11-10 系统 响应 时 间 的 组 成 


。 入 口 终端 延迟 : 指 从 终端 把 查询 命令 送 到 通信 线路 上 的 延迟 。 终 端 本 身 的 处 理 时 间 是 
很 短 的 ， 这 个 延迟 主要 是 由 从 终端 到 网 络 接口 设备 (例如 PAD 设备 或 网 桥 ) 的 通信 线 


路 纪 
3.33 


| 起 的 传输 延迟 。 假 若 线路 数据 速率 为 2400bps=300BPS， 则 每 个 字符 的 时 延 为 
hs。 假 如 平均 每 个 命令 含 100 个 字符 ， 则 输入 命令 的 延迟 时 间 为 0.33s。 


。 ”入口 排队 时 间 : 即 网 络 接口 设备 的 处 理 时 间 。 接 口 设备 要 处 理 多 个 终端 输入 ， 还 要 处 
理 提交 给 终端 的 输出 ， 所 以 输入 的 命令 通常 要 进入 缓冲 区 排队 等 待 。 接 口 设 备 越 忙 ， 
排队 时 间 越 长 。 

。 入 口服 务 时 间 : 指 从 网 络 接口 设备 通过 传输 网 络 到 达 主 机 前 端的 时 间 ， 对 于 不 同 的 网 


络 ， 


这 个 传输 时 间 的 差别 是 很 大 的 。 如 果 是 公共 交换 网 ， 这 个 时 延 是 无 法 控制 的 ;如 


果 是 专用 网 、 租 用 专线 或 用 户 可 配置 的 设备 ， 这 个 时 延 还 可 以 进一步 分 解 ， 以 便 按 照 
需要 规划 和 控制 网 络 。 

。 CPU 处 理 延迟 : 前 端 处 理 机 、 主 机 和 磁盘 等 设备 处 理 用 户 命令 、 做 出 回答 需要 的 时 间 。 
这 个 时 间 通 常 是 管理 人 员 无 法 控制 的 。 

。 出 口 排队 时 间 : 在 前 端 处 理 机 端口 等 待 发 送 到 网 络 上 去 的 排队 时 间 。 这 个 时 间 与 入 口 
排队 时 间 类 似 ， 其 长 短 取决 于 前 端 处 理 机 繁忙 的 程度 。 
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。 出 口服 务 时 间 : 通过 网 络 把 响应 报 文 传送 到 网 络 接口 设备 的 处 理 时 间 。 
。 出 口 终 端 延 迟 : 终端 接收 响应 报 文 的 时 间 ， 主 要 是 由 通信 延迟 引起 的 。 
响应 时 间 是 比较 容易 测量 的 ， 是 网 络 管理 中 重要 的 管理 信息 。 


3. 正确 性 


这 是 指 网 络 传输 的 正确 性 。 由 于 网 络 中 有 内 置 的 纠 错 机 制 ， 所 以 通常 用 户 不 必 考 虑 数据 传 
输 是 否 正 确 。 但 是 ， 监 视 传输 误 码 率 可 以 发 现 瞬 时 的 线路 故障 ， 以 及 是 否 存 在 噪声 源 和 通信 干 
扰 ， 以 便 及 时 采取 维护 措施 。 


4. 香 吐 率 


大 吐 率 是 面向 效率 的 性 能 指标 ,具体 表现 为 一 段 时 间 内 完成 的 数据 处 理 量 (Mbps 或 分 组 
数 每 秒 )， 或 者 接受 用 户 会 话 的 数量 ， 或 者 处 理 呼 叫 的 数量 等 。 跟 踪 这 些 指标 可 以 为 提高 网 络 
传输 效率 提供 依据 。 


5. 利用 率 


利用 率 是 指 网 络 资源 利用 的 百分率 ， 它 也 是 面向 效率 的 指标 。 这 个 参数 与 网 络 负载 有 关 ， 
当 负 和 载 增加 时 ， 资 源 利用 率 增 大 ， 因 而 分 组 排队 时 间 和 网 络 响应 时 间 变 长 ， 甚 至 会 引起 春 吐 率 
降低 。 当 相对 负载 (负载 /容量 ) 增加 到 一 定 程度 时 ， 响 应 时 间 迅 速 增长 ， 从 而 引发 传输 瓶颈 和 
网 络 拥挤 。 图 11-11 表示 响应 时 间 随 相对 负载 呈 指 数 上 升 的 情况 。 特 别 值得 注意 的 是 ， 实 际 情 
况 往往 与 理论 计算 结果 相左 ， 造 成 失去 控制 的 通信 阻塞 ， 这 是 应 该 设法 避免 的 ， 所 以 需要 更 精 
确 的 分 析 技 术 。 


响应 时 间 (S) 


一 一 一 实际 响应 时 间 


预计 响应 时 间 


一 
00 01 02 03 04 05 06 07 08 09 10 
网 络 相对 负载 


图 11-11 网 络 响应 时 间 与 负载 的 关系 
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下 面 介绍 一 种 简单 而 有 效 的 分 析 方 法 ， 可 以 正确 地 评价 网 络 资源 的 利用 情况 。 基 本 的 思想 
是 观察 链 路 的 实际 通信 量 〈 负 载 )， 并 且 与 规划 的 链 路 容量 (数据 速率 ) 比较 ， 从 而 发 现 哪些 
链 路 使 用 过 度 ， 哪 些 链 路 利用 不 足 。 分 析 方法 使 用 了 会 计 工 作 中 常用 的 成 本 分 析 技 术 ， 即 计算 
实际 的 费用 占 计 划 成 本 的 比例 ， 从 而 发 现实 际 情况 与 理想 情况 的 偏差 。 对 于 网 络 分 析 来 说 ， 就 
是 计算 出 各 个 链 路 的 负载 占 网 络 总 负载 的 百分率 〈 相 对 负载 )， 以 及 各 个 链 路 的 容量 占 网 络 总 
容量 的 百分率 〈 相 对 容量 )， 最 后 得 到 相对 负载 与 相对 容量 的 比值 。 这 个 比值 反映 了 网 络 资源 
的 相对 利用 率 。 

假定 有 图 11-12 (a) 所 示 的 简单 网 络 ， 由 5 段 链 路 组 成 。 表 11-1 中 列 出 了 各 段 链 路 的 负载 
和 各 段 链 路 的 容量 ， 并 且 计 算出 了 各 段 链 路 的 负载 百分率 和 容量 百分率 ， 图 11-12 (b) 是 对 应 
的 图 形 表 示 。 可 以 看 出 ， 网 络 规划 的 容量 (400kbps) 比 实际 的 通信 量 (200kbps) 大 得 多 ， 而 
且 没 有 一 条 链 路 的 负载 大 于 它 的 容量 。 但 是 ， 各 个 链 路 的 相对 利用 率 〈 相 对 负载 /相对 容量 ) 不 
同 ， 有 的 链 路 使 用 得 太 频 繁 〈 例 如 链 路 3，25/15=1.67)， 而 有 的 链 路 利用 不 足 〈 例 如 链 路 $， 
25/45=0.55)。 这 个 差别 是 有 用 的 管理 信息 ， 它 可 以 指导 我 们 如 何 调整 各 段 链 路 的 容量 ， 获 得 更 
合理 的 负载 分 布 和 链 路 利用 率 ， 从 而 减少 资源 浪费 ， 提 高 性 能 价格 比 。 


链 路 1 


链 路 3 
(a) 网 络 配置 (b) 链 路 空 量 和 负载 
mm 各 相 x 二 负 二 
链 路 相对 容量 


图 11-12 网络 利用 率 分 析 


表 11-1 网 络 负载 和 容量 分 析 


负载 (kbps) 

容量 (kbps) 

负载 百分率 

容量 百分率 
相对 负载 /相对 容量 
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收集 到 的 性 能 参数 组 织 成 性 能 测试 报告 ， 以 图 形 或 表格 的 形式 呈现 给 网 络 管理 员 。 对 于 局 
域 网 来 说 ， 性 能 测试 报告 应 包括 以 下 内 容 。 
。 主机 对 通信 和 抢 阵 。 一 对 源 主机 和 目标 主机 对 之 间 传 送 的 总 分 组 数 、 数 据 分 组 数 、 数 据 
字 节 数 以 及 它们 所 占 的 百分比 。 
。 主机 组 通信 符 阵 。 一 组 主机 之 间 通 信 量 的 统计 ， 内 容 与 上 一 条 类 似 。 
。 分 组 类 型 直方 图 。 各 种 类 型 的 原始 分 组 〈 例 如 广播 分 组 、 组 播 分 组 等 ) 的 统计 信息 ， 
用 直方 图 表示 。 
。 ”数据 分 组 长 度 直方 图 。 不 同 长 度 〈 字 节 数 ) 的 数据 分 组 的 统计 。 
。  ” 春 吐 率 一 一 利用 率 分 布 。 各 个 网 络 节点 发 送 /接收 的 总 字 节 数 和 数据 字 节 数 的 统计 。 
。 ”分 组 到 达 时 间 直 方 图 。 不 同时 间 到 达 的 分 组 数 的 统计 。 
。 ”信道 获取 时 间 直 方 图 。 在 网 络 接口 单元 (NIU) 排队 等 待 发 送 、 经 过 不 同 延迟 时 间 的 
分 组 数 的 统计 。 
。 通信 延迟 直方 图 。 从 发 出 原始 分 组 到 分 组 到 达 目 标的 延迟 时 间 的 统计 。 
。 ”冲突 计数 直方 图 。 经 受 不 同 冲 突 次 数 的 分 组 数 的 统计 。 
。 ”传输 计数 直方 图 。 经 过 不 同 试 发 送 次 数 的 分 组 数 的 统计 。 
另外 ， 还 应 包括 功能 全 面 的 性 能 评价 程序 (对 网 络 当 前 的 运行 状态 进行 分 析 ) 和 人 工 负载 
生成 程序 (产生 性 能 测试 数据 )， 帮 助 管理 人 员 进 行 管理 决策 。 


11.3.2 ”故障 管理 


故障 监视 就 是 要 尽快 地 发 现 故 障 ， 找 出 故障 原因 ， 以 便 及 时 采取 补救 措施 。 在 复杂 的 系统 
中 ， 发 现 和 诊断 故障 是 不 容易 的 。 首 先是 有 些 故障 很 难 观察 到 ， 例 如 分 布 处 理 中 出 现 的 死 锁 就 
很 难 发 现 。 其 次 是 有 些 故障 现象 不 足以 表明 故障 原因 ， 例 如 发 现 远程 节点 没有 响应 ， 但 是 否 低 
层 通信 协议 失效 不 得 而 知 。 更 有 些 故 障 现象 具有 不 确定 性 和 不 一 致 性 ， 引 起 故障 的 原因 很 多 
使 得 故障 定位 复杂 化 。 例 如 ， 终 端 死机 、 线 路 中 断 、 网 络 拥塞 或 主机 故障 都 会 引起 同样 的 故障 
现象 ， 到 底 问 题 出 在 哪儿 ， 需 要 复杂 的 故障 定位 手段 。 故 障 管理 可 分 为 以 下 3 个 功能 模块 。 

(1) 故障 检测 和 报警 功能 。 故 障 监视 代理 要 随时 记录 系统 出 错 的 情况 和 可 能 引起 故障 的 事 
件 ， 并 把 这 些 信 息 存储 在 运行 日 志 数 据 库 中 。 在 采用 轮 询 通信 的 系统 中 ， 管 理应 用 程序 定期 访 
问 运行 日 志 记录 ， 以 便 发 现 故障 。 为 了 及 时 检测 重要 的 故障 问题 ， 代 理 也 可 以 主动 向 有 关 管 理 
站 发 送出 错 事件 报告 。 另 外 ， 对 出 错 报告 的 数量 、 频 率 要 有 适当 地 控制 ， 以 免 加 重 网 络 负载 。 

(2) 故障 预测 功能 。 对 各 种 可 以 引起 故障 的 参数 建立 门限 值 ， 并 随时 监视 参数 值 变 化 ， 一 
且 超 过 门限 值 ， 就 发 送 警 报 。 例 如 ， 由 于 出 错 产生 的 分 组 碎片 数 超过 一 定 值 时 发 出 警报 ， 表 示 
线路 通信 恶化 ， 出 错 率 上 升 。 
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(3) 故障 诊断 和 定位 功能 。 即 对 设备 和 通信 线路 进行 测试 ， 找 出 故障 原因 和 故障 地 点 ， 例 
如 可 以 进行 下 列 测试 。 

。 ”连接 测试 。 

。 数据 完整 性 测试 。 

。 协议 完整 性 测试 。 

。 数据 饱和 测试 。 

。 ”连接 饱和 测试 。 

。 环 路 测试 。 

。 ”功能 测试 。 

。 诊断 测试 。 

故障 监视 还 需要 有 效 的 用 户 接口 软件 ， 使 得 故障 发 现 、 诊 断 、 定 位 和 排除 等 一 系列 操作 都 
可 以 交互 地 进行 。 


11.3.3 ” 计 费 管理 


计 费 监视 主要 是 跟踪 和 控制 用 户 对 网 络 资源 的 使 用 , 并 把 有 关 信息 存储 在 运行 日 志 数据 库 
中 ， 为 收费 提供 依据 。 不 同 的 系统 ， 对 计 费 功能 要 求 的 详尽 程度 也 不 一 样 。 在 有 些 提供 公共 服 
务 的 网 络 中 ， 要 求 收集 的 计 费 信息 很 详细 、 很 准确 ， 例 如 要 求 对 每 一 种 网 络 资源 、 每 一 分 钟 的 
使 用 、 传 送 的 每 一 个 字 节 数 都 要 计 费 ， 或 者 要 求 把 费用 分 排 给 每 一 个 账号 、 每 一 个 项 目 ， 甚 至 
每 一 个 用 户 。 而 有 的 内 部 网 络 就 不 一 定 要 求 这 样 细 了 ， 只 要 求 把 总 的 运行 费用 按 一 定 比例 分 配 
给 各 个 部 门 就 可 以 了 。 需 要 计 费 的 网 络 资源 如 下 。 

。 通信 设施 。LAN、WAN、 租 用 线路 或 PBX 的 使 用 时 间 。 

。 计算 机 硬件 。 工 作 站 和 服务 器 机 时 数 。 

。 软件 系统 。 下 载 的 应 用 软件 和 实用 程序 的 费用 。 

。 服务 。 包 括 商业 通信 服务 和 信息 提供 服务 〈 发 送 /接收 的 字 节 数 )。 

计 费 数据 组 成 计 费 日 志 ， 其 记录 格式 应 包括 下 列 信息 。 

。 用户 标 识 。 

。 连接 目标 的 标识 符 。 

。 ”传送 的 分 组 数 / 字 节 数 。 

。 ”安全 级 别 。 

。 时间 戳 。 

。 ”指示 网 络 出 错 情况 的 状态 码 。 

。 使 用 的 网 络 资源 。 
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11.3.4 ”配置 管理 


置 管理 是 指 初始 化 、 维 护 和 关闭 网 络 设备 或 子 系统 .被 管理 的 网 络 资源 包括 物理 设备 ( 例 
如 服务 器 、 路 由 器 ) 和 底层 的 逻辑 对 象 ( 例 如 传输 层 定 时 器 )。 配 置 管 理 功能 可 以 设置 网 络 参 
数 的 初始 值 /默认 值 ， 使 网 络 设备 初始 化 时 自动 形成 预定 的 互联 关系 。 当 网 络 运行 时 ， 配 置 管理 
监视 设备 的 工作 状态 , 并 根据 用 户 的 配置 命令 或 其 他 管理 功能 的 请 求 改变 网 络 配置 参数 。 例 如 ， 
若 性 能 管理 检测 到 响应 时 间 延 长 ， 并 分 析出 性 能 降级 的 原因 是 由 于 负载 失衡 ， 则 配置 管理 将 通 
过 重新 配置 〈 例 如 改变 路 由 表 ) 改善 系统 响应 时 间 。 又 例如 ， 故 障 管理 检测 到 一 个 故障 ， 并 确 
定 了 故障 点 ， 则 配置 管理 可 以 改变 配置 参数 ， 把 故障 点 隔离 ， 恢 复 网 络 正常 工作 。 配 置 管理 应 
包含 下 列 功能 模块 。 
。 定义 配置 信息 。 
。 设置 和 修改 设备 属性 。 
。 ”定义 和 修改 网 络 元 素 间 的 互联 关系 。 
。 ”启动 和 终止 网 络 运行 。 
。 ”发行 软 件 。 
。 aa 
置 现 状 。 
Was 监视 功能 ， 即 管理 站 通过 轮 询 随 时 访问 代理 保存 的 配置 信息 ， 或 者 代理 
通过 事件 报告 及 时 向 管理 站 通知 配置 参数 改变 的 情况 。 下 面 解释 配置 控制 的 其 他 功能 。 


1， 定义 配置 信息 


配置 信息 描述 网 络 资源 的 特征 和 属性 ， 这 些 信息 对 其 他 管理 功能 是 有 用 的 。 网 络 资源 包括 
物理 资源 (例如 主机 、 路 由 器 、 网 桥 、 通 信和 链 路 和 Modem 等 ) 和 风 辑 资源 (例如 定时 器 、 计 
数 器 和 虚 电 路 等 )。 设 备 的 属性 包括 名 称 、 标 识 符 、 地 址 、 状 态 、 操 作 特 点 和 软件 版 本 。 配 置 
信息 可 以 有 多 种 组 织 方式 。 简 单 的 配置 信息 组 织 成 由 标量 组 成 的 表 ， 每 一 个 标量 值 表示 一 种 属 
性 值 ，SNMP 采用 这 种 方法 。 在 OSI 系统 管理 中 ， 管 理 信息 定义 为 面向 对 象 的 数据 库 。 对 象 的 
值 表示 被 管理 设备 的 特性 ， 对 象 的 行为 《例如 通知 ) 代表 了 管理 操作 ， 对 象 之 间 的 包含 关系 和 
继承 关系 则 规范 了 它们 之 间 的 互相 作用 。 另 外 ， 还 有 一 些 系统 用 关系 数据 库 表 示 管 理 信息 

管理 信息 存储 在 与 被 管理 设备 最 接近 的 代理 或 委托 代理 中 ， 管 理 让 通过 轮 询 或 事件 报告 访 
问 这 些 信息 。 网 络 管理 员 可 以 在 管理 站 提供 的 用 户 界 面 上 说 明 管 理 信息 值 的 范围 和 类 型 ， 用 于 
设置 被 管理 资源 的 属性 。 网 络 控制 功能 还 允许 定义 新 的 管理 对 象 ， 在 指定 的 代理 中 生成 需要 的 
管理 对 象 或 数据 元 素 。 产 生 新 数据 的 过 程 可 以 是 联机 的 、 动 态 的， 或 是 脱 机 的 、 静 态 的 。 
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2. 设置 和 修改 属性 


配置 管理 允许 管理 站 远程 设置 和 修改 代理 中 的 管理 信息 值 , 但 是 修改 操作 要 受到 下 面 两 种 
限制 : 
(1) 只 有 授权 的 管理 站 才 可 以 实行 修改 操作 ， 这 是 网 络 安全 所 要 求 的 。 
(2) 有 些 属性 值 反映 了 硬件 配置 的 实际 情况 ， 是 不 可 改变 的 ， 例 如 主机 CPU 类 型 、 路 由 
器 的 端口 数 等 。 
对 配置 信息 的 修改 可 以 分 为 以 下 3 种 类 型 : 
。 ”只 修改 数据 库 。 管 理 站 向 代理 发 送 修改 命令 ， 代 理 修改 配置 数据 库 中 的 一 个 或 多 个 数 
据 值 。 如 果 修 改 操 作成 功 ， 则 向 管理 站 返回 肯定 应 答 ， 否 则 返回 否定 应 答 ， 在 这 个 交 
互 过 程 中 不 发 生 其 他 作用 。 例如 , 管理 站 通过 修改 命令 改变 网 络 设备 的 负责 人 姓名 、 
地 址 和 电话 等 )。 
。 ”修改 数据 库 ， 也 改变 设备 的 状态 。 除 了 修改 数据 值 之 外 ， 还 改变 了 设备 的 运行 状态 。 
例如 ， 把 路 由 器 端口 的 状态 值 置 为 disabled， 则 所 有 网 络 通信 不 再 访问 该 端口 。 
。 ”修改 数据 库 ， 同 时 引起 设备 的 动作 。 由 于 现行 网 络 管理 标准 中 没有 直接 指挥 设备 动作 
的 命令 ， 所 以 通常 用 管理 数据 库 中 的 变量 值 控制 被 管理 设备 的 动作 。 当 这 些 变 量 被 设 
置 成 不 同 的 值 时 ， 设 备 随即 执行 对 应 的 操作 过 程 。 例 如 ， 路 由 器 数据 库 中 有 一 个 初始 
化 参数 ， 可 取 值 为 tue 或 false。 若 设置 此 参数 值 为 tue， 则 路 由 器 开始 初始 化 ， 过 程 
结束 时 重 置 该 参数 为 false。 


3 定义 和 修改 关系 


关系 是 指 网 络 资源 之 间 的 联系 、 连 接 以 及 网 络 资源 之 间 相 互 依存 的 条 件 ， 例 如 拓扑 结构 、 
物理 连接 、 风 辑 连 接 、 继 承 层次 和 管理 域 等 。 继 承 层次 是 管理 对 象 之 间 的 继承 关系 ， 而 管理 域 
是 被 管理 资源 的 集合 ， 这 些 网 络 资源 具有 共同 的 管理 属性 或 者 受 同一 管理 站 控制 。 

配置 管理 应 该 提供 联机 修改 关系 的 操作 ， 即 用 户 在 不 关闭 网 络 的 情况 下 可 以 增加 、 删 除 或 
修改 网 络 资源 之 间 的 关系 。 例 如 在 LAN 中 ， 节 点 之 间 风 辑 链 路 控制 子 层 的 连接 可 以 由 管理 站 
来 修改 。 一 种 LLC 连接 叫 作 交 换 连 接 ， 即 节点 的 LLC 实体 接受 上 层 软 件 的 请 求 或 者 响应 终端 
用 户 的 命令 与 其 他 节点 建立 的 SAP 之 间 的 连接 。 另 外 , 管理 站 还 可 以 建立 固定 (或 永久 ) 连接 ， 
管理 软件 也 可 以 按照 管理 命令 的 要 求 释 放 已 建立 的 固定 连接 或 交换 连接 ， 或 者 为 一 个 已 有 的 连 
接 指 定 备 份 连接 ， 以 便 在 主 连接 失效 时 替换 它 。 


4. 启动 和 终止 网 络 运行 
配置 管理 给 用 户 提供 启动 和 关闭 网 络 和 子 网 的 操作 。 启 动 操作 包括 验证 所 有 可 设置 的 资源 
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属性 是 否 已 正确 设置 ， 如 果 有 设置 不 当 的 资源 ， 则 要 通知 用 户 ; 如 果 所 有 的 设置 都 正确 无 误 ， 
则 向 用 户 发 回 表 定 应 答 。 同时, 关闭 操作 完成 之 前 应 允许 用 户 检索 设备 的 统计 信息 或 状态 信息 。 


5. 发 行 软件 


配置 管理 还 提供 向 端 系统 〈 主 机 、 服 务 器 和 工作 站 等 ) 和 中 间 系 统 〈 交 换 机 、 路 由 器 和 应 
用 网 关 等 ) 发 行 软件 的 功能 ， 即 给 系统 装载 指定 的 软件 , 更 新 软件 版 本 和 配置 软件 参数 等 功能 。 
除了 装载 可 执行 的 软件 之 外 ， 这 个 功能 还 包括 下 载 驱 动 设备 工作 的 数据 表 ， 例 如 路 由 器 和 网 桥 
中 使 用 的 路 由 表 。 如 果 出 于 计 费 、 安 全 或 性 能 管理 的 需要 ， 路 由 决策 中 的 某 些 特殊 情况 不 能 仅 
根据 数学 计算 的 结果 处 理 ， 可 能 还 需要 人 工 干 预 ， 所 以 还 应 提供 人 工 修改 路 由 表 的 用 户 接口 。 


11.3.5 “安全 威胁 


早期 的 计算 机 信息 安全 主要 由 物理 的 和 行政 的 手段 控制 , 例如 不 许 未 经 授权 的 用 户 进入 终 
端 室 (物理 的 )， 或 者 对 可 以 接近 计算 机 的 人 员 进 行 严格 的 审查 等 (行政 的 )。 然 而 自从 有 了 网 
络 ， 特 别 是 有 了 开放 的 因特网 ， 情 况 就 完全 不 同 了 。 人 们 人 迫切 地 需要 自动 的 管理 工具 ， 以 控制 
存储 在 计算 机 中 的 信息 和 网 络 传输 中 信息 的 安全 。 安 全 管理 提供 这 种 安全 控制 工具 ， 同 时 也 要 
保护 网 络 管理 系统 本 身 的 安全 。 下 面 首先 分 析 计 算 机 网 络 面临 的 安全 威胁 。 


1， 安 全 威胁 的 类 型 


为 了 理解 对 计算 机 网 络 的 安全 威胁 ， 首 先 定义 安全 需求 。 计 算 机 和 网 络 需要 以 下 3 个 方面 
的 安全 性 。 

01) 保密 性 Csecrecy)。 计 算 机 网 络 中 的 信息 只 能 由 授予 访问 权限 的 用 户 读 取 《 包 括 显示 、 
打印 等 ， 也 包含 暴露 “信息 存在 ”这 样 的 事实 )。 

(2) 数据 完整 性 integrity)。 计 算 机 网 络 中 的 信息 资源 只 能 被 授予 权限 的 用 户 修改 。 

(3) 可 用 性 availability)。 具 有 访问 权限 的 用 户 在 需要 时 可 以 利用 网 络 资源 。 

所 谓 对 计算 机 网 络 的 安全 威胁， 就 是 破坏 了 这 3 个 方面 的 安全 性 要 求 。 下 面 从 计算 机 网 络 
提供 信息 的 途径 来 分 析 安全 威胁 的 类 型 。 通 常 ， 从 源 到 目标 的 信息 流动 的 各 个 阶段 都 可 能 受到 
威胁 。 图 11-13 画 出 了 信息 流 被 危害 的 各 种 情况 。 

《1) 信息 从 源 到 目标 传送 的 正常 情况 。 

(2) 中断 (interruption)。 通 信 被 中 断 ,信息 变 得 无 用 或 者 无 法 利用 ， 这 是 对 可 用 性 的 威胁 。 
例如 破坏 信息 存储 硬件 、 切 断 通信 线路 、 侵 犯 文件 管理 系统 等 

(3) 窃取 (interception)。 未 经 授权 的 入 侵 者 访问 了 网 络 信息 ， 这 是 对 保密 性 的 威胁 。 入 侵 
者 可 以 是 个 人 、 程 序 或 计算 机 ， 可 通过 措 线 捕获 线路 上 传送 的 数据 ， 或 者 非法 复制 文件 和 程 
序 等 
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大 目标 源 上 村 
O——O oO- 0O 


(a) 正常 流动 (b) 中 断 (c) 窃取 
(d) 篡改 (e) 假冒 


11-13 ”对 网 络 通信 的 安全 威胁 


(4) 算 改 (modification)。 示 经 授权 的 入 侵 者 不 仅 访问 了 信息 资源 ， 而 且 算 改 了 信息 ， 这 
是 对 数据 完整 性 的 威胁 。 例 如 改变 文件 中 的 数据 、 改 变 程序 的 功能 、 修 改 网 上 传送 的 报 文 等 。 

(5) 假冒 (fabrication)。 未 经 授权 的 入 侵 者 在 网 络 信息 中 加 入 了 伪造 的 内 容 ， 这 也 是 对 数 
据 完整 性 的 威胁 。 例 如 向 网 络 用 户 发 送 虚假 的 消息 、 在 文件 中 插入 伪造 的 记录 等 。 


2. 对 计算 机 网 络 的 安全 威胁 
11-14 所 示 为 对 计算 机 网 络 的 各 种 安全 威胁 ， 分 别 解释 如 下 。 


自 改 自 改 


(捕获 、 分 析 ) 窃取 窃取 分析、 捕获 ) 


(丢失 ) 中 断 中 断 〈 丢 失 ) 


(偷窃 、 拒 绝 服务 ) 中 断 中 断 删除 》 


自 改 


图 11-14 对 计算 机 网 络 资源 的 安全 威胁 
(1) 对 硬件 的 威胁 。 主 要 是 破坏 系统 硬件 的 可 用 性 ， 例 如 有 意 或 无 意 的 损坏 ， 甚 至 是 盗窃 
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网 络 器 材 等 。 小 型 的 PC、 工作 站 和 局 域 网 的 广泛 使 用 增加 了 这 种 威胁 的 可 能 性 。 

(2) 对 软件 的 威胁 。 操 作 系统 、 实 用 程序 和 应 用 软件 可 能 被 改变 、 损 坏 ， 甚 至 被 恶意 删除 ， 
从 而 不 能 工作 ,失去 可 用 性 。 特别 是 有 些 修改 使 得 程序 看 起 来 似乎 可 用 ,但 是 做 了 其 他 的 工作 ， 
这 正 是 各 种 计算 机 病毒 的 特长 。 另 外 ， 软 件 的 非法 复制 还 是 一 个 至 今 没 有 解决 的 问题 ， 所 以 软 
件 本 身 也 不 安全 。 

(3) 对 数据 的 威胁 。 主 要 有 4 个 方面 的 威胁 ， 即 数据 可 能 被 非法 访问 ， 破 坏 了 保密 性 ， 数 
据 可 能 被 恶意 修改 或 者 假冒 ， 破 坏 了 完整 性 ， 数 据 文件 可 能 被 恶意 删除 ， 从 而 破坏 了 可 用 性 ; 
甚至 在 无 法 直接 读 取 数据 文件 的 情况 下 《例如 文件 被 加 密 )， 还 可 以 通过 分 析 文 件 大 小 或 者 文 
件 目录 中 的 有 关 信 息 推测 出 数据 的 特点 。 这 种 分 析 技术 是 一 种 更 隐蔽 的 计算 机 犯罪 手段 ， 网 络 
黑客 们 乐 而 为 之 。 

(4) 对 网 络 通信 的 威胁 。 可 分 为 被 动 威胁 和 主动 威胁 两 类 ， 如 图 11-15 所 示 。 被 动 威胁 并 
不 改变 数据 流 ， 而 是 采用 各 种 手段 窃取 通信 线路 上 传输 的 信息 ， 从 而 破坏 了 保密 性 。 例 如 ， 偷 
听 或 监视 网 络 通信 ， 从 而 获知 电话 谈话 、 电 子 邮 件 和 文件 的 内 容 ; 还 可 以 通过 分 析 网 络 通信 的 
特点 《通信 的 频率 、 报 文 的 长 度 等 ) 猜测 出 传输 中 的 信息 。 由 于 被 动 威胁 不 改变 信息 的 内 容 ， 
所 以 是 很 难 检测 的 ， 数 据 加 密 是 防止 这 种 威胁 的 主要 手段 。 与 其 相反 ， 主 动 威胁 则 可 能 改变 信 
息 流 ， 或 者 生成 伪造 的 信息 流 ， 从 而 破坏 了 数据 的 完整 性 和 可 用 性 。 主 动 攻击 者 不 必 知 道 信息 
的 内 容 ， 但 可 以 改变 信息 流 的 方向 ， 或 者 使 传输 


的 信息 被 延迟 、 重 放 、 重 新 排序 ， 可 能 产生 不 同 被 动 克 胁 
的 效果 ， 这 些 都 是 对 网 络 通信 的 算 改 。 主 动 攻击 
还 可 能 影响 网 络 的 正常 使 用 ， 例 如 改变 信息 流传 窃取 


输 的 目标 、 关 闭 或 破坏 通信 设施 ， 或 者 以 垃圾 报 A 


文 阻塞 信道 ， 这 种 手段 叫 拒绝 服务 。 假 冒 (或 伪 


造 ) 者 则 可 能 利用 前 两 种 攻击 手段 之 一 ， 冒 充 合 发 天 信和 容 sd 
法 用 户 以 博取 非法 利益 。 例 如 ， 攻 击 者 捕获 了 合 

法 用 户 的 认证 报 文 ， 不 必 知道 认证 码 的 内 容 ， 只 

需 重 放 认证 报 文 就 可 以 冒充 合法 用 户 使 用 计算 机 | 

资源 。 其 实 ， 完 全 防止 主动 攻击 是 不 可 能 的 ， 只 3 

能 及 时 地 检测 它 ， 在 它 还 没有 造成 危害 或 没有 千 

成 大 的 危害 时 消除 它 。 图 11-15 计算 机 网 络 的 被 动 威胁 和 主动 威胁 


3， 对 网络 管理 的 安全 威胁 


由 于 网 络 管理 是 分 布 在 网 络 上 的 应 用 程序 和 数据 库 的 集合 ， 以 上 讨论 的 各 种 威胁 都 可 能 影 
响 网 络 管理 系统 ， 造 成 管理 系统 失灵 ， 甚 至 发 出 了 错误 的 管理 指令 ， 破 坏 了 计算 机 网 络 的 正常 
运行 。 对 于 网 络 管理 有 3 个 方面 的 安全 威胁 值得 提出 。 
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(1) 伪装 的 用 户 。 没 有 得 到 授权 的 用 户 企图 访问 网 络 管理 应 用 和 管理 信息 。 

(2) 假冒 的 管理 程序 。 无 关 的 计算 机 系统 可 能 伪装 成 网 络 管理 站 实施 管理 功能 。 

(3) 侵入 管理 站 和 代理 间 的 信息 交换 过 程 。 网 络 入 侵 者 通过 观察 网 络 活动 窃取 了 敏感 的 管 
理 信 息 ， 更 严重 的 危害 是 自 改 管理 信息 ， 或 中 断 管理 站 和 代理 之 间 的 通信 。 


11.3.6 ”安全 管理 


系统 或 网 络 的 安全 设施 由 一 系列 安全 服务 和 安全 机 制 的 集合 组 成 。 下 面 分 3 个 方面 讨论 安 
全 设施 的 管理 问题 。 


1， 安全 信息 的 维护 


网 络 管理 中 的 安全 管理 是 指 保护 管理 站 和 代理 之 间 信 息 交换 的 安全 。 安 全 管理 使 用 的 操作 
与 其 他 管理 使 用 的 操作 相同 , 差别 在 于 使 用 的 管理 信息 的 特点 。 有 关 安 全 的 管理 对 象 包括 密 钥 、 
认证 信息 、 访 问 权限 信息 以 及 有 关 安 全 服务 和 安全 机 制 的 操作 参数 的 信息 等 。 安 全 管理 要 跟踪 
进行 中 的 网 络 活动 和 试图 发 动 的 网 络 活动 ， 以 便 检 测 未 遂 的 或 成 功 的 攻击 ， 并 挫败 这 些 攻击 ， 
恢复 网 络 的 正常 运行 。 细 分 一 下 ， 对 于 安全 信息 的 维护 可 以 列 出 以 下 功能 。 

(1) 记录 系统 中 出 现 的 各 类 事件 〈 例 如 用 户 登录 、 退 出 系统 和 文件 复制 等 )。 

(2) 追踪 安全 审计 试验 ， 自 动 记录 有 关 安 全 的 重要 事件 ， 例 如 非法 用 户 持续 试验 不 同 口令 
字 企 图 登录 等 。 

(3) 报告 和 接收 侵犯 安全 的 警示 信号 ， 在 怀疑 出 现 威胁 安全 的 活动 时 采取 防范 措施 ， 例 如 
封锁 被 入 侵 的 用 户 账号 ， 或 强行 停止 恶意 程序 的 执行 等 。 

(4) 经 常 维护 和 检查 安全 记录 ， 进 行 安全 风险 分 析 ， 编 制 安全 评价 报告 。 

(5) 备份 和 保护 敏感 的 文件 。 

(6) 研究 每 个 正常 用 户 的 活动 形象 ， 预 先 设 定 敏感 资源 的 使 用 形象 ， 以 便 检 测 授权 用 户 的 
异常 活动 和 对 敏感 资源 的 滥用 行为 。 


2. 资源 访问 控制 


一 种 重要 的 安全 服务 就 是 访问 控制 服务 ， 这 包括 认证 服务 和 授权 服务 ， 以 及 对 敏感 资源 访 
问 授权 的 决策 过 程 。 访 问 控制 服务 的 目的 是 保护 各 种 网 络 资源 ， 这 些 资源 中 与 网 络 管理 有 关 
的 内 容 如 下 。 

。 ”安全 编码 。 

。 源 路 由 和 路 由 记录 信息 。 

。 路 由 表 。 

。 目录 表 。 
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。 报警 门限 。 

。 计 费 信息 。 

安全 管理 记录 用 户 的 活动 属性 (Profile) 以 及 特殊 文件 的 使 用 属性 ， 检 查 可 能 出 现 的 异常 
访问 活动 。 安 全 管理 功能 使 管理 人 员 能 够 生成 和 删除 与 安全 有 关 的 对 象 ， 改 变 它 们 的 属性 或 状 
态 ， 影 响 它们 之 间 的 关系 。 

3， 加 密 过 程控 制 

安全 管理 能 够 在 必要 时 对 管理 站 和 代理 之 间 交 换 的 报 文 进行 加 密 。 安 全 管理 也 能 够 使 用 其 
他 网 络 实体 的 加 密 方法 。 此 外 ， 这 个 功能 还 可 以 改变 加 密 算法 ， 具 有 密 钥 分 配 能 力 。 


11.4 简单 网 络 管理 协议 


在 20 世纪 80 年 代 末 ， 随 着 对 网 络 管理 系统 的 迫切 需求 和 网 络 管理 技术 的 日 臻 成熟， 国际 
标准 化 组 织 开 始 制 订 关 于 网 络 管理 的 国际 标准 。 首 先是 ISO 在 1989 年 颁布 了 ISO DIS 7498-4 
(XX.700) 文件 ， 定 义 了 网 络 管理 的 基本 概念 和 总 体 框架 ， 后 来 在 1991 年 发 布 的 两 个 文件 中 规定 
了 网 络 管理 提供 的 服务 和 网 络 管理 协议 ， 即 ISO 9595 公共 管理 信息 服务 定义 〈Common 
Management Information Service，CMIS ) 和 ISO 9596 公共 管理 信息 协议 规范 (Common 
Management Information Protocol，CMIP)。 在 1992 年 公布 的 ISO 10164 文件 中 规定 了 系统 管理 
功能 (System Management Functions, SMFs), 而 ISO 10165 文件 则 定义 了 管理 信息 结构 (Structure 
of Management Information，SMI)。 这 些 文件 共同 组 成 了 ISO 的 网 络 管理 标准 。 这 是 一 个 非常 
复杂 的 协议 体系 ， 管 理 信息 采用 了 面向 对 象 的 模型 ， 管 理 功能 包罗 万 象 ， 另 外 还 有 一 些 附加 的 
功能 和 一 致 性 测试 方面 的 说 明 。 由 于 其 复杂 性 ， 有 关 ISO 管理 的 实现 进展 缓慢 ， 很 少 有 适用 的 
网 管 产品 。 

另 一 方面 ， 随 着 20 世纪 90 年 代 初 Internet 的 迅猛 发 展 ， 有关 TCP/IP 网 络 管理 的 研究 活动 
十 分 活跃 另 一 类 网 络 管理 标准 正在 迅速 流传 和 广泛 应 用 。TCP/IP 网 络 管理 方面 最 初 使 用 的 是 
1987 年 11 月 提出 的 简单 网 关 监 控 协 议 (Simple Gateway Monitoring Protocol，SGMP)， 在 此 基 
础 上 改进 成 简单 网 络 管理 协议 第 一 版 (Simple Network Management Protocol，SNMPv1)， 陆 续 
公布 在 1990 和 1991 年 的 几 个 RFC(Request For Comments) 文 件 中 , 即 RFC 1155(SMI)、RFC1157 
(CSNMP)、RFC1212(MIB 定义 ) 和 RFC1213 (MIB-2 规范 )。 由 于 其 简单 性 和 易于 实现 , SNMPv1 
得 到 了 许多 制造 商 的 支持 和 广泛 的 应 用 。 几 年 以 后 ， 在 第 一 版 的 基础 上 改进 功能 和 安全 性 ， 又 
产生 了 第 二 版 SNMPv2 (RFC1902-1908，1996) 和 SNMPv3 (RFC2570-2575 Apr1999)。 

在 同一 时 期 , 用 于 监控 局 域 网 通信 的 标准 一 一 远程 网 络 监 控 (Remote Monitoring, RMON) 
也 出 现 了 ， 这 就 是 RMON-1 (1991) 和 RMON-2 (1995)。 这 一 组 标准 定义 了 监视 网 络 通 信 的 


国 56o 若 。 网 儿 工 程 岳 教程 (第 5 版 ) 


管理 信息 库 ， 是 SNMP 管理 信息 库 的 扩充 , 与 SNMP 协议 配合 可 以 提供 更 有 效 的 管理 性 能 ， 也 
得 到 了 广泛 应 用 。 

另外 ，IEEE 定义 了 局 域 网 的 管理 标准 ， 即 下 EE 802.1b LAN/MAN 管理 。 这 个 标准 用 于 管 
理 物理 层 和 数据 链 路 层 的 OSI 设备 ， 因 而 叫做 CMOL (CMIP over LLC)。 

为 了 适应 电信 网 络 的 管理 需要 ,ITU-T 在 1989 年 定义 了 电信 网 络 管理 标准 (Telecommuni- 
cations Management Network，TMN)， 即 M.30 建议 (蓝皮书 )。 


11.4.1 SNMPv1 


Intemet 最 初 的 网 络 管理 框架 由 4 个 文件 定义 , 如 图 11-16 所 示 , 这 就 是 SNMPv1。RFC1155 
定义 了 管理 信息 结构 ， 规 定 了 管理 对 象 的 语法 和 语义 。SMI 主要 说 明了 怎样 定义 管理 对 象 和 怎 
样 访问 管理 对 象 。 RFC1212 说 明了 定义 MIB 模块 的 方法 ， 而 RFC1213 定义 了 MIB-2 管理 对 象 
的 核心 集合 ， 这 些 管理 对 象 是 任何 SNMP 系统 必须 实现 的 。 最 后 ，RFC1157 是 SNMPv1 协议 
的 规范 文件 。 


Structure of Management Information 


SNMP 网 络 管理 框架 


Management Information Base (MIB-2) 


Format for MIB Modules 


SNMPv1 


图 11-16 SNMPv1 网 络 管理 框架 的 定义 
1. SNMP 体系 结构 


图 11-17 所 示 为 Intemet 网 络 管理 的 体系 结构 。 由 于 SNMP 定义 为 应 用 层 协 议 ， 所 以 它 依 
赖 于 UDP 数据 报 服务 。 同 时 ，SNMP 实体 向 管理 应 用 程序 提供 服务 ， 它 的 作用 是 把 管理 应 用 
程序 的 服务 调用 变 成 对 应 的 SNMP 协议 数据 单元 ， 并 利用 UDP 数据 报 发 送出 去 。 

其 之 所 以 选择 UDP 协议 而 不 是 TCP 协议 ， 是 因为 UDP 效率 较 高 ， 这 样 实现 网 络 管理 不 
会 太 多 地 增加 网 络 负载 。 但 由 于 UDP 不 是 很 可 靠 , 所 以 SNMP 报 文 容易 丢失 。 为 此 , 对 SNMP 
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实现 的 建议 是 对 每 个 管理 信息 要 装配 成 单独 的 数据 报 独立 发 送 ， 而 且 报 文 应 短 一 些 ， 不 要 超过 
484 字 节 。 


SNMP 报 文 


图 11-17 简单 网 络 管理 协议 的 体系 结构 


每 个 代理 进程 管理 若干 被 管理 对 象 ， 并 且 与 某 些 管 理 站 建立 团体 (Community) 关系 ， 如 
图 11-18 所 示 。 团 体 名 作为 团体 的 全 局 标识 符 ， 是 一 种 简单 的 身份 认证 手段 。 一 般 来 说 ， 代 理 
进程 不 接受 没有 通过 团体 名 验证 的 报 文 ， 这 样 可 以 防止 未 授权 的 管理 命令 。 同 时 ， 在 团体 内 部 
也 可 以 实行 专用 的 管理 策略 。 


Manager 


Agent -~ 人 Manager 
(Community) | 


Manager 


图 11-18 ”SNMPv1 的 团体 关系 


2. SNMP 协议 数据 单元 


根据 RFC1157 给 出 的 定义 ，SNMPv1 PDU 的 格式 如 图 11-19 所 示 。 在 SNMP 管理 中 ， 管 
理 站 和 代理 之 间 交 换 的 管理 信息 构成 了 SNMP 报 文 。 报 文 由 3 个 部 分 组 成 ， 即 版 本 号 、 团 体 名 
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和 协议 数据 单元 (PDU)。 报 文 头 中 的 版 本 号 是 指 SNMP 的 版 本 ，RFC1157 为 第 一 版 。 团 体 名 
用 于 身份 认证 。SNMP 共有 5 种 管理 操作 ， 但 只 有 4 种 PDU 格式 。 管 理 站 发 出 的 3 种 请 求 报 
文 GetRequest、GetNextRequest 和 SetRequest 采用 的 格式 是 一 样 的 ， 代 理 的 应 答 报 文 格式 只 有 有 
一 种 GetResponsePDU。 关 于 PDU 中 各 个 字段 的 含义 ， 解 释 如 下 。 


SNMP 报 文 
版 本 号 | 团体 名 SNMP PDU 


GetRequestPDU、GetNextRequestPDU 和 SetRequestPDU 


PDU 类 型 ”| 请 求 标识 0 0 变量 绑 定 表 
GetResponsePDU 
PDU 类 型 ”| 请 求 标识 | 错误 状态 | 错误 索引 变量 绑 定 表 


TrapPDU 


特殊 陷入 变量 绑 定 表 


图 11-19 SNMP 报 文 格式 


从 图 11-19 中 可 以 看 出 ， 除 了 Trap 之 外 的 4 种 PDU 格式 是 相同 的 ， 共 有 5 个 字段 。 
。 ”PDU 类 型 : 共 5 种 类 型 的 PDU。 
。 请求 标识 (request-id): 赋予 每 个 请 求 报 文 唯一 的 整数 ， 用 于 区 分 不 同 的 请 求 。 由 于 在 
具体 实现 中 请 求 多 是 在 后 台 执行 ， 当 应 答 报 文 返回 时 要 根据 其 中 的 请 求 标识 与 请 求 报 
文 配 对 。 请 求 标识 的 另 一 个 作用 是 检测 由 不 可 靠 的 传输 服务 产生 的 重复 报 文 。 
。 ”错误 状态 (error-status): 表示 代理 在 处 理 管理 站 的 请 求 时 可 能 出 现 的 各 种 错误 。 
。 ”错误 索引 (errorindex): 当 错 误 状 态 非 0 时 指向 出 错 的 变量 。 
。 ”变量 绑 定 表 (variable-binding): 变量 名 和 对 应 值 的 表 ， 说 明 要 检索 或 设置 的 所 有 变量 
及 其 值 。 在 检索 请 求 报 文中 ， 变 量 的 值 应 为 0。 
3.SNMP 协议 的 操作 
SNMP 报 文 在 管理 站 和 代理 之 间 传 送 ， 包 含 GetRequest、GetNextRequest 和 SetRequest 的 
报 文 由 管理 站 发 出 ， 代 理 以 GetResponse 响应 。 所 有 报 文 发 送 和 应 答 序列 如 图 11-20 所 示 。 一 
般 来 说 ， 管 理 站 可 连续 发 出 多 个 请 求 报 文 ， 然 后 等 待 代理 返回 的 应 答 报 文 。 如 果 在 规定 的 时 间 
内 收 到 应 答 ， 则 按照 请 求 标识 进行 配对 ， 即 应 答 报 文 必须 与 请 求 报 文 有 相同 的 请 求 标识 。 
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管理 站 代理 管理 站 代理 
GetRequestPDU GetNextRequestPDU 


GetResponsePDU 


GetResponsePDU 


管理 站 代理 。 管理 站 代理 
SetNextRequestPDU TrapPDU 


GetResponsePDU 


图 11-20 ”SNMP 报 文 应 答 序列 


当 一 个 SNMP 协议 实体 发 送 报 文 时 执行 下 面 的 过 程 : 首先 按照 ASN.1 的 格式 构造 PDU， 
交 给 认证 进程 。 认 证 进程 检查 源 和 目标 之 间 是 否 可 以 通信 ， 如 果 通过 这 个 检查 ， 则 把 有 关 信 息 
(版 本 号 、 团 体 名 和 PDU) 组 装 成 报 文 。 最 后 经 过 BER 编码 ， 交 传输 实体 发 送出 去 ， 如 图 11-21 


所 示 。 
构造 PDU (ASN.1 对 象 ) 


| 加 入 团体 名 以 及 源 和 目标 传输 地 址 。 | 


| | 


| 和 造 sNMp 报 文 AsN D | 。 | ti 过 认证 


| | 


| 把 ASN.1 报 文 按 BER 编 码 | 


发 送 给 对 等 实体 


图 11-21 生成 和 发 送 SNMP 报 文 


so 
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当 一 个 SNMP 协议 实体 接收 到 报 文 时 执行 下 面 的 过 程 : 首先 按照 BER 编码 恢复 ASN.1 报 
文 ， 然 后 对 报 文 进行 语法 分 析 、 验 证 版 本 号 和 认证 信息 等 。 如 果 通 过 分 析 和 验证 ， 则 分 离 出 协 
议 数据 单元 ， 并 进行 语法 分 析 ， 必 要 时 经 过 适当 处 理 后 返回 应 答 报 文 。 在 认证 检验 失败 时 可 以 
生成 一 个 陷入 报 文 ， 向 发 送 站 报告 通信 和 异常 情况 。 无 论 何 种 检验 失败 ， 都 丢弃 报 文 。 接 收 处 理 
过 程 如 图 11-22 所 示 。 


按 BER 解码 ,恢复 ASN.1 报 文 


| 正确 


出 错 
语法 分 析 ASN.1 报 文 


正确 


验证 版 本 号 [一 | ”丢弃 报 文 


认证 检查 


i 
nn 
处 理 PDU、 必 要 时 产生 应 答 


图 11-22 ”接收 和 处 理 SNMP 报 文 


必要 时 产生 一 个 陷入 


4. SNMPv1 的 实现 问题 


SNMP 网 络 管理 是 一 种 分 布 式 应 用 ， 在 这 种 应 用 中 ,管理 站 和 代理 之 间 的 关系 可 以 是 一 对 
多 的 关系 ， 即 一 个 管理 站 可 以 管理 多 个 代理 ， 从 而 管理 多 个 设备 。 另 一 方面 ， 管 理 站 和 代理 之 
间 还 可 能 存在 多 对 一 的 关系 。 代 理 控制 自己 的 管理 信息 库 ， 也 控制 着 多 个 管理 站 对 管理 信息 库 
的 访问 。 另外， 委托 代理 也 可 能 按照 预定 的 访问 策略 控制 对 其 代理 设备 的 访问 。 

RFC1157 提供 的 认证 和 控制 机 制 是 最 基本 的 团体 名 验证 功能 。 可 以 看 出 ，SNMP 的 安全 机 
制 是 很 不 安全 的 , 仅仅 用 团体 名 验证 来 控制 访问 权限 是 不 够 的 。 而且 团体 名 以 明文 的 形式 传输 ， 
很 容易 被 第 三 者 窃取 ,这 也 是 SNMP 的 简单 性 使 然 。 由 于 这 个 缺陷 , 很 多 SNMP 的 实现 只 允许 
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Get 和 Trap 操作 ， 通 过 Set 操作 控制 网 络 设备 是 被 严格 限制 的 。 

SNMP 定义 的 陷入 类 型 是 很 少 的 ， 虽 然 可 以 补充 设备 专用 的 陷入 类 型 ， 但 专用 的 陷入 往往 
不 能 被 其 他 制造 商 的 管理 站 理解 ， 所 以 管理 站 主要 靠 轮 询 收集 信息 。 轮 询 的 频率 对 管理 的 性 能 
影响 很 大 。 如 果 管理 站 在 启动 时 轮 询 所 有 代理 ， 以 后 只 是 等 待 代理 发 来 的 陷入 ， 这 样 很 难 掌握 
网 络 的 最 新 动态 。 例 如 ， 不 能 及 时 了 解 网 络 中 出 现 的 拥塞 。 

另外 ， 需 要 一 种 能 提高 网 络 管理 性 能 的 轮 询 策略 ， 以 决定 合适 的 轮 询 频 率 。 通 常 轮 询 频率 
与 网 络 的 规模 和 代理 的 多 少 有 关 , 而 网 络 管理 性 能 还 取决 于 管理 站 的 处 理 速度 、 子 网 数据 速率 、 
网 络 拥塞 程度 等 众多 的 因素 ， 所 以 很 难 给 出 准确 的 判断 规则 。 为 了 使 问题 简化 ， 假 定 管理 站 一 
次 只 能 与 一 个 代理 作用 ， 轮 询 只 是 采用 get 请 求 /响应 这 种 简单 形式 ， 而 且 管 理 站 的 全 部 时 间 都 
用 来 轮 询 ， 于 是 有 下 面 的 不 等 式 

N<7/A 
其 中 : N 一 一 被 轮 询 的 代理 数 ; 
了 一 一 轮 询问 隔 ; 
A 一 一 单个 轮 询 需 要 的 时 间 。 

A 与 下 列 因素 有 关 : 

(1) 管理 站 生成 一 个 请 求 报 文 的 时 间 。 

(2) 从 管理 站 到 代理 的 网 络 延 迟 。 

(3) 代理 处 理 一 个 请 求 报 文 的 时 间 。 

(4) 代理 产生 一 个 响应 报 文 的 时 间 。 

(5) 从 代理 到 管理 站 的 网 络 延迟 。 

(6) 管理 站 处 理 一 个 响应 报 文 的 时 间 。 

(7) 为 了 得 到 需要 的 管理 信息 ， 交 换 请 求 /响应 报 文 的 数量 。 

【 例 11.2】 假 设 有 一 个 LAN， 每 15 分 钟 轮 询 所 有 被 管理 设备 一 次 (这 在 当前 的 TCP/IP 网 
络 中 是 典型 的 )， 管 理 报 文 的 处 理 时 间 是 50ms， 网 络 延 迟 为 lms (每 个 分 组 1000 字 节 )， 没 有 
产生 明显 的 网 络 拥 塞 ，A 大 约 是 0.202s， 则 

N< T/A=15 X 60/0.202=4500 

即 管理 站 最 多 可 支持 4500 个 设备 。 

【 例 11.3】 在 由 多 个 子 网 组 成 的 广域网 中 ， 网 络 延 迟 更 大 ， 数 据 速率 更 小 ， 通 信和 距离 更 远 ， 
而 且 还 有 路 由 器 和 网 桥 引 入 的 延迟 ， 总 的 网 络 延迟 可 能 达到 半 秒 钟 ，A 大 约 是 1.2s， 于 是 有 

N< T/A=15 X 60/1.2=750 

管理 站 可 支持 的 设备 最 多 为 750 个 。 


sos 
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这 个 计算 关系 到 4 个 参数 ， 即 代理 数目 、 报 文 处 理 时 间 、 网 络 延迟 和 轮 询 间 隔 。 如 果 能 估 
计 出 3 个 参数 ， 就 可 计算 出 第 4 个 。 所 以 可 以 根据 网 络 配置 和 代理 数量 确定 最 小 轮 询 间隔 ， 或 
者 根据 网 络 配置 和 轮 询 间隔 计算 出 管理 站 可 支持 的 代理 设备 数 。 最 后 ， 当 然 还 要 考虑 轮 询 给 网 
络 增 加 的 负载 。 


11.4.2 SNMPV2 


为 了 扩展 SNMPv1 的 功能 ，IETF 组 织 了 两 个 工作 组 ， 一 个 组 负责 协议 功能 和 管理 信息 库 
的 扩展 ， 另 一 个 组 负责 SNMP 的 安全 方面 ，1992 年 10 月 正式 开始 工作 。 这 两 个 组 的 工作 进展 
非常 快 ， 功 能 组 的 工作 在 1992 年 12 月 完成 ， 安 全 组 在 1993 年 1 月 完成 。1993 年 5 月 发 布 了 
12 个 RFC 文件 (1441-1452) 作为 SNMPv2 标准 的 草案 。 后 来 有 一 种 意见 认为 ，SNMPv2 的 高 
层 管理 框架 和 安全 机 制 实现 起 来 太 复杂 ， 对 代理 的 配置 很 困难 ， 限 制 了 网 络 发 现 能 力 ， 失 去 了 
SNMP 的 简单 性 。 又 经 过 几 年 的 实验 和 论证 ， 决 定 丢 掉 安 全 功能 ， 把 增加 的 其 他 功能 作为 新 标 
准 颁布 ， 并 保留 了 SNMPv1 的 报 文 封装 格式 ， 因 而 叫 作 基于 团体 的 SNMP (Community-based 
SNMP)， 简 称 SNMPv2c。 新 的 RFC (1901-1908) 文件 集 在 1996 年 1 月 发 布 。 

SNMPv2 既 可 以 支持 完全 集中 的 网 络 管理 ， 又 可 以 支持 分 布 式 网 络 管理 。 在 分 布 式 网 络 管 
理 的 情况 下 ， 有 些 系统 既是 管理 站 又 是 代理 ， 作 为 代理 系统 ， 它 可 以 接受 上 级 管理 系统 的 查询 
命令 ， 提 供 本 地 存储 的 管理 信息 ;作为 管理 站 ， 它 可 以 要 求 下 级 代理 系统 提供 有 关 被 管理 设备 
的 汇总 信息 。 此 外 ， 中 间 管 理 系统 还 可 以 向 它 的 上 级 系统 发 出 陷入 报告 。 

具体 地 说 ，SNMPv2c 对 SNMP 的 增强 主要 在 以 下 3 个 方面 。 

(1) 管理 信息 结构 的 扩充 。 

(2) 管理 站 之 间 的 通信 能力。 

(3) 新 的 协议 操作 。 

SNMPv2 引入 了 新 的 数据 类 型 ， 增 强 了 对 象 的 表达 能 力 ， 提 供 了 更 完善 的 表 操作 功能 。 
SNMPv2 还 定义 了 新 的 MIB 功能 组 , 包含 了 关于 协议 操作 的 通信 消息 ， 以 及 有 关 管 理 站 和 代理 
系统 配置 的 信息 。 在 协议 操作 方面 ， 引 入 了 两 种 新 的 PDU， 分 别 用 于 大 块 数据 的 传送 和 管理 站 
之 间 的 通信 。 

SNMPv2 共有 6 种 协议 数据 单元 , 分 为 3 种 PDU 格式 , 如 图 11-23 所 示 。 注 意 , GetRequest、 
GetNextRequest、SetRequest、InformRequest 和 Trap 这 5 种 PDU 与 Response PDU 具有 相同 的 
格式 ， 只 是 它们 的 错误 状态 和 错误 索引 字段 被 署 为 0， 这 样 就 减少 了 PDU 格式 的 种 类 。 

这 些 协议 数据 单元 在 管理 站 和 代理 系统 之 间或 者 两 个 管理 站 之 间 交 换 ， 以 完成 需要 的 协议 
操作 ， 它 们 的 交换 序列 如 图 11-24 和 图 11-25 所 示 。 下 面 解释 管理 站 和 代理 系统 对 这 些 PDU 的 
处 理 和 应 答 过 程 。 
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PDU 类 型 请 标识 | 。 0 变量 绑 定 表 


(a) GetRequest 、GetNextRequest 、SetRequest 、 InformRequest 和 Trap PDU 
PDU 类 型 | 请 求 标识 | 错误 状态 | 错 识 索 引 | 变量 绑 定 才 
(b) Response PDU 
PDU 类 型 | 请 求 标识 [重复 数 | 最 大 后 继 数 M| 。 ”变量 绑 定 表 
(c) GetBulkRequest PDU 
变量 名 1 | 值 1 | 变量 名 | 值 2 食量 名 中 全 
(d) 变量 绑 定 表 


图 11-23 SNMPv2 PDU 格式 


GetRequest 
GetNextRequest 
SetBulkRequest 
SetRequest 
让 
SNMPv2 SNMPv2 
实体 实体 
Manager Agent 
Request 
Trap 


图 11-24 管理 站 和 代理 之 间 的 通信 


SetRequest 
Manager 一 


一 Manager 
Response 


图 11-25 管理 站 和 管理 站 之 间 的 通信 
1. GetRequestPDU 


Get 操作 用 于 检索 管理 信息 库 中 的 变量 ， 一 次 可 以 检索 多 个 变量 的 值 。 接 收 GetRequest 的 
SNMP 实体 以 请 求 标识 符 相同 的 GetResponse 报 文 响应 。 在 SNMPv1 中 ，GetResponse 操作 具 
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有 原子 性 , 即 只 要 有 一 个 变量 的 值 检索 不 到 , 就 不 返回 任何 值 .SNMPv2 的 响应 方式 与 SNMPv1 
不 同 , SNMPv2 允许 部 分 响应 如果 由 于 任何 其 他 原因 而 处 理 失败 , 则 返回 一 个 错误 状态 genErr， 
对 应 的 错误 索引 指向 有 问题 的 变量 。 如 果 生 成 的 响应 PDU 太 大 ， 超 过 了 本 地 的 或 请 求 方 的 最 
大 报 文 限制 , 则 放弃 这 个 PDU, 构造 一 个 新 的 响应 PDU， 其 错误 状态 为 tooBig, 错误 索引 为 0， 
变量 绑 定 表 为 空 。 

改变 Get 响应 的 原子 性 是 一 个 重大 进步 。 在 SNMPv1 中 ， 如 果 Get 操作 的 一 个 或 多 个 变量 
不 存在 ,代理 就 返回 错误 noSuchName， 剩 下 的 事情 完全 由 管理 站 处 理 : 要么 不 向 上 层 返 回 值 ; 
要 么 去 掉 不 存在 的 变量 ， 重 发 检索 请 求 ， 然 后 向 上 层 返回 部 分 结果 。 由 于 生成 部 分 检索 算法 的 
复杂 性 ， 很 多 管理 站 并 不 支持 这 一 功能 。 

2. GetNextRequestPDU 


GetNext 命令 检索 变量 名 指示 的 下 一 个 对 象 实例 , 用 在 对 表 对 象 的 搜索 中 。 在 SNMPv2 中 ， 
这 种 检索 请 求 的 格式 和 语义 与 SNMPv1 基本 相同 ， 唯 一 的 差别 就 是 改变 了 响应 的 原子 性 。 


3. GetBulkRequestPDU 


这 是 SNMPv2 对 原 标准 的 主要 增强 , 目的 是 以 最 少 的 交换 次 数 检索 最 大 量 的 管理 信息 。 这 
种 块 检索 操作 的 工作 过 程 是 这 样 的 : 假设 GetBulkRequestPDU 变量 绑 定 表 中 有 工 个 变量 ， 
GetBulk PDU 的 “ 非 重复 数字 段 的 值 为 N, 则 对 前 六 个 变量 应 各 返回 一 个 后 继 值 。 再 设 GetBulk 
PDU 的 “最 大 后 继 数 ”字段 的 值 为 M， 则 对 其 余 的 R=L-N 个 变量 应 该 各 返回 最 多 M 个 后 继 值 。 
如 果 可 能 ， 总 共 返 回 NHRXM 个 值 ， 这 些 值 的 分 布 如 图 11-26 所 示 。 如 果 在 任何 一 步 查找 过 程 
中 遇 到 不 存在 后 继 的 情况 ， 则 返回 错误 状态 endOfMibView。 


4. SetRequestPDU 


这 个 请 求 PDU 的 格式 和 语义 与 SNMPv1 的 基本 相同 ,其 语义 是 设置 或 改变 MIB 变量 的 值 ， 
其 差别 是 处 理 响 应 的 方式 不 同 。SNMPv2 实体 分 两 个 阶段 处 理 这 个 请 求 的 变量 绑 定 表 ， 首 先是 
检验 操作 的 合法 性 ， 然 后 是 更 新 变量 。 如 果 至 少 有 一 个 变量 绑 定 对 的 合法 性 检验 没有 通过 ， 则 
不 进行 下 一 阶段 的 更 新 操作 。 所 以 这 个 操作 与 SNMPv1 一 样 ， 是 原子 性 的 。 如 果 没 有 检查 出 错 
误 ， 就 可 以 给 所 有 指定 变量 赋予 新 值 。 若 有 至 少 一 个 赋值 操作 失败 ， 则 所 有 赋值 被 撤销 ， 并 返 
回 错误 状态 commitFailed， 错 误 索 引 指 向 问题 变量 的 序号 。 但 是 ， 若 不 能 全 部 撤销 所 赋 的 值 ， 
则 返回 错误 状态 undoFailed， 错 误 索 引 字段 置 0。 


$5. TrapPDU 


陷入 是 由 代理 发 给 管理 站 的 非 确认 性 消息 。 SNMPv2 的 陷入 采用 与 Get 等 操作 相同 的 PDU 
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格式 ， 这 一 点 也 是 与 原 标准 不 同 的 。TrapPDU 的 变量 绑 定 表 中 应 包含 发 出 陷入 的 时 间 、 发 出 陷 
入 的 对 象 标识 符 以 及 代理 系统 选择 的 其 他 变量 的 值 。 


变量 名 1 
变量 名 2 


变量 名 NN 
变量 名 N+1 


变量 名 N+R 
变量 名 N+1 


变量 名 N+R 


前 入 个 变量 各 有 一 个 后 继 


后 R 个 变量 的 第 一 个 后 继 


共 R*M 个 值 


后 RR 个 变量 的 第 M 个 后 继 


图 11-26 ”GetBulkRequest 检索 得 到 的 值 


6. InformRequestPDU 


SNMPv2 增加 的 管理 站 之 间 的 通信 机 制 是 分 布 式 网 络 管理 所 需要 的 功能 ,为 此 引入 了 通知 
报 文 InformRequest 和 管理 站 数据 库 (manager-to-manager MIB)。Inform 是 管理 站 之 间 发 送 的 
消息 , PDU 格式 与 Get 等 操作 相同 , 变量 绑 定 表 的 内 容 与 陷入 报 文 一 样 , 但 这 个 消息 需要 应 答 。 
管理 站 收 到 通知 请 求 后 首先 要 决定 应 答 报 文 的 大 小 ， 如 果 应 答 报 文大 小 超过 本 地 或 对 方 的 限 
制 ， 则 返回 错误 状态 tooBig。 如 果 接 收 的 请 求 报 文 不 是 太 大 ， 则 把 有 关 信 息 传送 给 本 地 的 应 用 
实体 ， 返 回 一 个 错误 状态 为 noErr 的 响应 报 文 ， 其 变量 绑 定 表 与 收 到 的 请 求 PDU 相同 。 


11.4.3 SNMPv3 


SNMPv3 在 前 两 版 的 基础 上 重新 定义 了 网 络 管理 框架 和 安全 机 制 ， 新 开发 的 网 络 管理 系统 


都 支持 SNMPv3 。 
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在 前 两 版 中 叫 作 管理 站 和 代理 的 东西 在 SNMPv3 中 统一 叫 作 SNMP 实体 (SNMP entity)。 
实体 是 体系 结构 的 一 种 实现 ， 由 一 个 或 多 个 SNMP 引擎 (SNMP engine) 和 一 个 或 多 个 SNMP 
应 用 (SNMP Application) 组成。 图 11-27 显示 了 SNMP 实体 的 组 成 元 素 。 


SNMP 实 体 
SNMP 引 擎 (由 snmpEnsineII 标识 》 
应 用 程序 
命令 生成 器 | | 通知 接收 器 | | 代理 转发 器 
命令 响应 器 | | 通知 发 送 器 | | 其 他 应 用 


1. SNMP 引擎 


SNMP 引擎 提供 下 列 服务 : 
(1) 发 送 和 接收 报 文 。 
(2) 认证 和 加 密 报 文 。 


(3) 控制 对 管理 对 象 的 访问 。 
SNMP 引擎 有 唯一 的 标识 sampEngineID， 由 于 SNMP 引擎 和 SNMP 实体 具有 一 一 对 应 的 
关系 ， 所 以 snmpEngineID 也 是 对 应 的 SNMP 实体 的 唯一 标识 。SNMP 引擎 具有 复杂 的 结构 ， 


它 包含 以 下 部 分 : 


图 11-27 SNMP 实体 


(1) 一 个 调度 器 (Dispatcher)， 其 作用 是 发 送 /接收 SNMP 报 文 。 


(2) 一 个 报 文 处 理子 系统 (Message Processing Subsystem)， 其 功能 是 按照 预定 的 格式 准备 


要 发 送 的 报 文 ， 或 者 从 接收 的 报 文中 提取 数据 。 


(3) 一 个 安全 子 系统 (Security Subsystem)， 提 供 安全 服务 ， 例 如 报 文 的 认证 和 加 密 。 一 


个 安全 子 系统 可 以 有 多 个 安全 模块 ， 以 便 提供 各 种 不 同 的 安全 服务 。 


(4) 一 个 访问 控制 子 系统 (Access Control Subsystem)， 提 供 授 权 服 务 ， 即 确定 是 否 允 许 访 


问 一 个 管理 对 象 ， 或 者 是 否 可 以 对 某 个 管理 对 象 实施 特殊 的 管理 操作 。 
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2. 应 用 程序 


SNMPv3 的 应 用 程序 分 为 5 种， 如 图 11-27 所 示 。 

。 命令 生成 器 〈command generators)。 建 立 SNMP Read/Write 请 求 ， 并 且 处 理 这 些 请 求 
的 响应 。 

。 ”命令 响应 器 (command responders)。 接 收 SNMP Read/Write 请 求 ， 对 管理 数据 进行 访 
问 ， 并 按照 协议 规定 的 操作 产生 响应 报 文 ， 返 回 给 读 / 写 命令 的 发 送 者 。 

。 通知 发 送 器 (notification originators)。 监 控 系 统 中 出 现 的 特殊 事件 ， 产 生 通 知 类 报 文 ， 
并 且 要 有 一 种 机 制 ， 以 决定 向 何 处 发 送 报 文 ， 使 用 什么 SNMP 版 本 和 安全 参数 等 。 

。 通知 接收 器 (notification receivers)。 监 听 通 知 报 文 ， 并 对 确认 型 通知 产生 响应 。 

。 ”代理 转发 器 (proxy forwarders)。 在 SNMP 实体 之 间 转 发 报 文 。 


3. 基于 用 户 的 安全 模型 (USMD 


SNMPv3 把 对 网 络 协议 的 安全 威胁 分 为 主要 的 和 次 要 的 两 类 。 标 准 规定 安全 模块 必须 提供 

防护 的 两 种 主要 威胁 如 下 。 

。 修改 信息 。 就 是 某 些 未 经 授权 的 实体 改变 了 进来 的 SNMP 报 文 ， 企 图 实施 未 经 授权 的 
管理 操作 ， 或 者 提供 虚假 的 管理 对 象 。 

。 假冒 。 即 未 经 授权 的 用 户 冒 充 授权 用 户 的 标识 ， 企 图 实施 管理 操作 。 

标准 还 规定 安全 模块 必须 对 下 面 两 种 次 要 威胁 提供 防护 。 

。 ”修改 报 文 流 。 由 于 SNMP 协议 通常 是 基于 无 连接 的 传输 服务 ， 重 新 排序 报 文 流 、 延 迟 
或 重 放 报 文 的 威胁 都 可 能 出 现 。 这 种 威胁 的 危害 性 在 于 通过 报 文 流 的 修改 可 能 实施 非 
法 的 管理 操作 。 

。 消息 泄漏 。SNMP 引擎 之 问 交换 的 信息 可 能 被 偷 听 ， 对 这 种 威胁 的 防护 应 采取 局 部 的 
策略 。 

下 面 两 种 威胁 是 安全 体系 结构 不 必 防 护 的 ， 因 为 它们 不 是 很 重要 ， 或 者 说 这 种 防护 没有 多 

大 作用 。 

。 ”拒绝 服务 。 因 为 在 很 多 情况 下 拒绝 服务 和 网 络 失效 是 无 法 区 别 的 ， 所 以 可 以 由 网 络 管 
理 协议 来 处 理 ， 安 全 子 系统 不 必 采 取 措 施 。 

。 ”通信 分 析 。 即 由 第 三 者 分 析 管 理 实体 之 间 的 通信 规律 ， 从 而 获取 需要 的 信息 。 由 于 通 
常 都 是 由 少数 管理 站 来 管理 整个 网 络 的 ， 所 以 管理 系统 的 通信 模式 是 可 预见 的 ， 因 而 
防护 通信 分 析 就 没有 多 大 作用 了 。 

因此 ，RFC2574 把 安全 协议 分 为 以 下 3 个 模块 : 

。 ”时 间 序 列 模块 。 提 供 对 报 文 延迟 和 重 放 攻击 的 防护 。 

。 ”认证 协议 。 提供 完 整 性 和 数据 源 认证 , 使 用 了 一 种 叫 作 报 文 认证 码 的 协议 。 MAC 通常 
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用 于 共享 密 钥 的 两 个 实体 之 间 ， 使 用 散 列 函 数 作为 密码 ， 所 以 也 叫 作 HMAC。HMAC 
可 以 结合 任何 重复 加 密 的 散 列 函数 ， 例 如 MD5 和 SHA-1。 可 见 ，HMAC-MD5-96 认 
证 协议 就 是 使 用 散 列 函数 MDS5 的 报 文 认证 协议 。 

加 密 模块 。 防 止 报 文 内 容 的 泄露 。 数 据 的 加 密使 用 DES 算法 ， 使 用 56 位 的 密 铀 ， 按 
照 CBC (Cipher Block Chaining) 模式 对 64 位 长 的 明文 进行 替代 和 替换 ， 最 后 产生 的 
密 文 也 被 分 成 64 位 的 块 。 


另外 ，SNMPv3 还 对 用 户 密 钥 进 行 了 局 部 化 处 理 。 用 户 通常 使 用 可 读 的 ASCII 字符 串 作 为 


令 字 ， 密 钥 局 部 化 就 是 把 用 户 的 口令 字 变 换 成 他 /她 与 一 个 SNMP 引擎 共享 的 密 钥 。 虽 然 用 
户 在 整个 网 络 中 可 能 只 使 用 一 个 口令 ,但 是 通过 密 钥 局 部 化 以 后 ， 用 户 与 每 一 个 SNMP 引擎 共 
享 的 密 钥 都 是 不 同 的 。 这 样 的 设计 可 以 防止 一 个 密 钥 值 的 泄露 对 其 他 SNMP 引擎 造成 危害 。 密 
钥 局 部 化 过 程 的 主要 思想 是 把 口令 字 和 相应 的 SNMP 引擎 标识 作为 输入 ， 运 行 一 个 散 列 函 数 


(例如 MD5 或 SHA)， 得 到 一 个 固定 长 度 的 伪 随 机 序列 ， 作 为 加 密 密 钥 。 
4. 基于 视图 的 访问 控制 (VACM) 模型 


当 一 个 SNMP 实体 处 理 检索 或 修改 请 求 时 都 要 检查 是 否 允 许 访问 指定 的 管理 对 象 , 以 及 是 
否 允 许 执行 请 求 的 操作 。 另 外 ， 当 SNMP 实体 生成 通知 报 文 时 ， 也 要 用 到 访问 控制 机 制 ， 以 决 
定 把 消息 发 送 给 谁 。 在 VACM 模型 中 要 用 到 以 下 概念 。 


1 


们 ,1 


SNMP 上 下 文 (context): 简称 上 下 文 ， 是 SNMP 实体 可 以 访问 的 管理 信息 的 集合 。 

一 个 管理 信息 可 以 存在 于 多 个 上 下 文中 ， 而 一 个 SNMP 实体 也 可 以 访问 多 个 上 下 文 。 
在 一 个 管理 域 中 ，SNMP 上 下 文 由 唯一 的 名 字 contextName 标识 。 

组 (group): 由 二 元 组 <securityModel，securityName> 的 集合 构成 。 属 于 同一 组 的 所 有 
安全 名 securityName 在 指定 的 安全 模型 securityModel 下 的 访问 权限 相同 。 组 的 名 字 用 
groupName 表示 。 

安全 模型 (securityModel): 表示 访问 控制 中 使 用 的 安全 模型 。 

安全 级 别 (securityLevel): 在 同一 组 中 成 员 可 以 有 不 同 的 安全 级 别 ， 即 noAuthNoPriv 
(无 认证 不 保密 )、authNoPriv (有 认证 不 保密 ) 和 authPriv (有 认证 要 保密 )。 任 何 一 
个 访问 请 求 都 有 相应 的 安全 级 别 。 

操作 (operation): 指 对 管理 信息 执行 的 操作 ， 例 如 读 、 写 和 发 送 通知 等 。 


管理 数据 库 MIB-2 
被 管理 对 象 的 定义 


SNMP 环境 中 的 所 有 被 管理 对 象 组 织 成 树 型 结构 ， 如 图 11-28 和 图 11-29 所 示 。 这 种 层次 
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树 结构 有 以 下 3 个 作用 。 

(1) 表示 管理 和 控制 关系 。 从 图 11-28 可 以 看 出 ， 上 层 的 中 间 节 点 是 某 些 组 织 机 构 的 名 字 ， 
说 明 这 些 机 构 负责 它 下 面子 树 的 管理 。 有 些 中 间 节 点 虽然 不 是 组 织 机 构 名 ， 但 已 委托 给 某 个 组 
织 机 构 代 管 , 例如 org(3) 由 ISO 代 管 , 而 intemet(D) 由 IAB (Intemet Architecture Board) 代 管 等 。 
树 根 没有 名 字 ， 默 认为 抽象 语法 表示 ASN.1。 


Toot 


joint-iso-ccitt 


standard Tegistration member body 
authority 


directory mgmt experimental private 


mib-2 


CO wo 
图 11-28 注册 层次 


(2) 提供 了 结构 化 的 信息 组 织 技术 。 从 图 11-29 可 以 看 出 ， 下 层 的 中 间 节 点 代表 的 子 树 是 
与 每 个 网 络 资源 或 网 络 协议 相关 的 信息 集合 。 例 如 ， 有 关 了 P 协议 的 管理 信息 都 放置 在 ip(4) 子 
树 中 。 这 样 ， 沿 着 树 层 次 访问 相关 信息 很 方便 。 

(3) 提供 了 对 象 命名 机 制 。 树 中 的 每 个 节点 都 有 一 个 分 层 的 编号 。 叶 子 节点 代表 实际 的 管 
理 对 象 ， 从 树 根 到 树叶 的 编号 串联 起 来 ， 用 圆 点 隔 开 ， 就 形成 了 管理 对 象 的 全 局 标识 。 例 如 ， 
internet 的 标识 符 是 1.3.6.1， 或 者 写 为 {iso(1)org(3)dod(6)1}。 

intemet 下 面 的 4 个 节点 需要 解释 。directory(D) 是 OSI 的 目录 服务 (X.500)。mgmt(2) 包 括 
由 IAB 批准 的 所 有 管理 对 象 ， 而 mib-2 是 mgmt(2) 的 第 一 个 孩子 节点 。experimental(3) 子 树 用 来 
标识 在 因特网 上 实验 的 所 有 管理 对 象 。 最 后 ，private(4) 子 树 是 为 私有 企业 管理 信息 准备 的 ， 目 
前 这 个 子 树 只 有 一 个 孩子 节点 enterprises(1)。 如 果 一 个 私有 企业 (例如 ABC 公司 ) 向 Intemet 
编码 机 构 申 请 注册 ， 并 得 到 一 个 代码 100， 该 公司 为 它 的 令 牌 环 适配器 赋予 代码 为 25。 这 样 ， 
令 牌 环 适 配器 的 对 象 标识 符 就 是 1.3.6.1.4.1.100.25。 把 internet 节点 划分 为 4 个 子 树 ， 为 SNMP 
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的 实验 和 改进 提供 了 非常 灵活 的 管理 机 制 。 


iso(1) 


| ore(3) 


dod(6) 


interfaces(2) 
| Er 
一 
一 [emo 
Fo 
om 
一 Egg |] 


private(4) 
enterprises(1) 


图 11-29 MIB-2 的 分 组 结构 


SNMP MIB 中 的 每 个 对 象 属于 一 定 的 对 象 类 型 ， 并且 有 一 个 具体 的 值 。 对象 类 型 的 定义 采 
用 ASN.1 描述 ， 对 象 实例 是 对 象 类 型 的 具体 实现 ， 只 有 实例 才 可 以 绑 定 到 特定 的 值 。 
SNMP MIB 的 宏 定义 最 初 在 RFC1155 中 说 明 , 叫 作 MIB-1。 后 来 对 RFC1212 进行 了 扩充 ， 
叫 作 MIB-2。 图 11-30 是 RFC1212 中 对 象 类 型 的 定义 ， 对 其 中 关键 的 成 分 解释 如 下 。 
。 SYNTAX: 语法 子 句 说 明 被 管理 对 象 的 类 型 、 组 成 和 值 的 范围 ， 以 及 与 其 他 对 象 的 关 
系 。 对 象 类 型 的 定义 是 一 种 语法 描述 ， 对 象 实例 是 对 象 类 型 的 具体 实现 ， 只 有 实例 才 
可 以 绑 定 到 特定 的 值 。 在 MIB 中 使 用 了 ASN.1 中 的 5 种 通用 类 型 ， 如 表 11-2 所 示 。 
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OBJECT-TYPE MACRO::= 
BEGIN 
TYPE NOTATION::="SYNTAX" type(TYPE ObjectSyntax) 
"ACCESS" Access 
"STATUS" Status 
DescrPart 
ReferPart 
IndexPart 
DefValPart 
VALUE NOTATION::=value (VALUE ObjectName) 
Access::="read-only"|"read-write"|"write-only"|"not-accessible" 
Status::="mandatory "|"optional"|l"obsolete"|"deprecated" 


DESCRIPTION" value(description DisplayString) | empty 


DescrPart:: 


E" value(reference DisplayString) | empty 
IndexPart::="INDEX" "{" IndexTypes " }" 
IndexTypes::=IndexTypelIndexTypes "," IndexType 


alue(indexobject ObjectName)ltype (indextype) 


: EFVAL" "{" value(defvalue ObjectSyntax) "}" | empty 
DisplayString::=OCTET STRING SIZE(0..255) 
END 


图 11-30 管理 对 象 的 宏 定义 (RFC1212) 


表 11-2 ASN.1 的 通用 类 型 


类 型 名 解 释 
INTEGER 包括 正 、 负 整数 和 0 
OCTET STRING 由 8 位 组 构成 的 串 , 例如 下 地 址 就 是 由 4 个 8 位 组 构成 的 串 
NULL 空 类 型 不 代表 任何 类 型 ， 只 是 占有 一 个 位 置 


OBJECTIDENTIFIER | 对 象 标识 符 “| MIB 树 中 的 节点 用 分 层 的 编号 表示 ， 例 如 1.3.6.1.2.1 
网 可 以 是 任何 类 型 组 成 的 序列 , 如 果 有 OF, 则 是 同类 型 对 象 的 
ee 序列 ， 否 则 是 不 同类 型 对 象 的 序列 


。 ACCESS: 定义 SNMP 协议 访问 对 象 的 方式 。 可 选择 的 访问 方式 有 只 读 (read-only)、 
读 / 写 (read-write)、 只 写 (write-only) 和 不 可 访问 Cnotaccessible) 4 种 。 

。 STATUS: 说 明 实 现 是 否 支 持 这 种 对 象 。 状 态 子 句 中 定义 了 必要 的 〈mandatory) 和 任 
选 的 (optional) 两 种 支持 程度 。 过 时 的 《〈obsolete) 是 指 旧 标 准 支持 但 新 标准 不 支持 
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的 类 型 。 如 果 一 个 对 象 被 说 明 为 可 取消 的 (deprecated)， 则 表示 当前 必须 支持 这 种 对 
象 ， 但 在 将 来 的 标准 中 可 能 被 取消 。 

。 ”DesctPart: 这 个 子 句 是 任 选 的 ， 用 文字 说 明 对 象 类 型 的 含义 。 

。 ”ReferPart 这 个 子 句 也 是 任 选 的 ， 用 文字 说 明 可 参考 在 其 他 MIB 模块 中 定义 的 对 象 。 

。 ”IndexPart: 用 于 定义 表 对 象 的 索引 项 。 

。 ”DefValPart: 这 个 子 句 是 任 选 的 ， 定 义 了 对 象 实例 的 默认 值 。 

VALUE NOTATION: 指明 对 象 的 访问 名 。 

另外 ， RFC1155 文件 还 根据 网 络 管理 的 需要 定义 了 下 列 应 用 类 型 。 

。 ”NetworkAddress: 可 以 有 多 种 网 络 地 址 ， 但 目前 定义 的 只 有 下 地 址 。 

。 IpAddress: 32 位 的 他 地址， 定义 为 4 个 字 节 的 串 。 

。 ”Counter: 计数 器 类 型 是 一 个 非 负 整数 ， 其 值 可 增加 ， 但 不 能 减少 ， 达 到 最 大 值 22-1 
后 回 零 ， 再 从 头 开 始 增加 ， 如 图 11-31 (a) 所 示 。 计 数 器 可 用 于 计算 接收 到 的 分 组 数 
或 字 节 数 等 。 

。 Gauge: 计量 器 类 型 是 一 个 非 负 整数 ， 其 值 可 增加 ， 也 可 减少 。 计 量 器 的 最 大 值 也 是 
22-1。 与 计数 器 不 同 的 地 方 是 计量 器 达到 最 大 值 后 不 回 零 ， 而 是 锁定 在 2”-1， 如 图 
11-31 (b) 所 示 。 计 量 器 可 用 于 表示 存储 在 缓冲 队列 中 的 分 组 数 。 


计数 器 当前 值 计数 器 当前 值 


计数 器 达到 2? 后 回 零 计数 器 达到 2? 后 不 回 零 
(a) 计数 器 (b) 计量 器 
图 11-31 计数 器 和 计量 器 


。 TimeTicks: 时 钟 类 型 是 非 负 整 数 。 时 钟 的 单位 是 百 万 分 之 一 秒 , 可 表示 从 某 个 事件 ( 例 
如 设备 启动 ) 开始 到 目前 经 过 的 时 间 。 
。 ”Opaque: 不 透明 类 型 ， 即 未 知 数据 类 型 ， 可 以 表示 任意 类 型 。 这 种 数据 在 编码 时 按 字 
符 串 处 理 ， 管 理 站 和 代理 都 能 解释 这 种 类 型 。 
SNMPv2 增加 了 两 种 新 的 数据 类 型 Unsigned32 和 Counter64。Unsigned32 和 Gauge32 都 是 
32 位 的 整数 ， 但 是 在 SNMPv2 中 赋予 了 不 同 的 语义 。Counter64 和 Counter32 一 样 ， 都 表示 计 
数 器 ， 只 能 增加 ， 不 能 减少 。 当 增加 到 2“-_1 或 22 1 时 回 零 ， 从 头 再 增加 。 而 且 SNMPv2 规 
定 ， 计 数 器 没有 定义 的 初始 值 ， 所 以 计数 器 的 单个 值 是 没有 意义 的 ， 只 有 连续 两 次 读 计 数 器 得 
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到 的 增加 值 才 是 有 意义 的 。 

SNMPv2 规范 澄清 了 原来 标准 中 一 些 含糊 不 清 的 地 方 。 首 先是 在 SNMPv2 中 规定 Gauge32 
的 最 大 值 可 以 设置 为 小 于 2” 的 任意 正 数 MAX， 而 在 SNMPv1 中 Gauge32 最 大 值 总 是 22 1。 
显然 ， 这 样 规定 更 细致 了 ,使 用 更 方便 了 。 其 次 是 SNMPv2 明确 了 当 计 量 器 达到 最 大 值 时 可 自 
动 减少 。 在 RFC1155 中 只 是 说 计量 器 的 值 “ 锁 定 ”在 最 大 值 ， 对 锁定 的 含义 并 没有 定义 ， 人 们 
总 是 在 “计量 器 达到 最 大 值 时 是 否 可 以 减少 ”的 问题 上 争论 不 休 。 


11.5.2 ”MIB-2 的 功能 组 


RFC1213 定义 了 MIB-2， 包 含 11 个 功能 组 ， 共 171 个 对 象 。 下 面 解释 主要 的 功能 组 。 
(1) 系统 组 (System group)。 提 供 了 系统 的 一 般 信息 。 表 11-3 所 示 为 系统 组 的 对 象 。 


表 11-3 系统 组 对 象 

对 象 语 法 访问 方式 功能 描述 
sysDescr (1) DisplayString (SIZE (0..255)) 关 硬 件 和 操作 系统 的 描述 
sysObjectID (2) | OBJECT IDENTIFIER 统制 造 商 标识 
统 运行 时 间 
于 理 人 员 描 述 
统 名 
统 的 物理 位 置 
统 服务 


sysUpTime (3) Timeticks 


| 访问 方式 | 
| Ro | 有 
| ro | 系 
| ro | 未 
sysContact (4) | DisplayString (SIZE (0.255)) 系 
[avw 
| rw | 系 
| ro | 系 


sysName (5) DisplayString (SIZE (0..255)) RW 
sysLocation (6) DisplayString (SIZE (0..255)) RW 
sysServices (7) INTEGER (0..127) 


(2) Interface 组 。 接 口 组 包含 关于 主机 接口 的 配置 信息 和 统计 信息 ， 如 表 11-4 所 示 。 
表 11-4 接口 组 对 象 


对 象 语 法 访问 方式 功能 描述 

ifNumber INTEGER RO 网 络 接口 数 

ifTable SEQUENCE OF ifEntry NA 接口 表 

ifEntry SEQUENCE NA 接口 表 项 

ifIndex INTEGER RO 唯一 的 索引 

ifDescr DisplayString (SIZE (0.255)) RO 接 Ba 多 各 各 
版 本 等 

ji a 物理 层 和 数据 链 路 层 协 议 确定 的 接 
口 类 型 

ifMtu INTEGER RO 最 大 协议 数据 单元 大 小 (位 组 数 ) 
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续 表 

对 和 象 语 法 访问 方式 功能 描述 
ifSpeed Gauge RO 接口 数据 速率 
ifPhysAddress PhysAddress RO 接口 物理 地 址 
ifAdminStatus INTEGER RW 管理 状态 up (1) down (2) testing (3) 
ifOperStatus INTEGER RO 操作 状态 up (1) down (2) testing (3) 
ifL.astChange TimeTicks RO 接口 进入 当前 状态 的 时 间 
iffnOctets Counter 搁 口 收 到 的 总 字 节 数 
ifInUcastPkts Counter 输入 的 单 点 传送 分 组 数 
ifInNUcastPkts Counter | 输入 的 组 播 分 组 数 
ifInDiscards Counter | ro | 丢弃 的 分 组 数 
ifInErrors Counter | Ro | 接收 的 错误 分 组 数 
ifInUnknownPorotos | Counter | Ro | 未 知 协议 的 分 组 数 
ifOutOctets Counter | ”RO | 通过 接口 输出 的 分 组 数 
ifOutUcastPkts Counter | Ro | 输出 的 单 点 传送 分 组 数 
ifOutNUcastPkts Counter | Ro | 输出 的 组 播 分 组 数 
ifOutDiscards Counter | Ro | 丢弃 的 分 组 数 
ifOutErrors Counter | Ro | 输出 的 错误 分 组 数 
ifOutQLen Gauge | Ro | 输出 队列 长 度 
ifSpecfic OBJECTIDENTIFIER | RO | 指向 MIB 中 专用 的 定义 


接口 组 中 的 对 象 可 用 于 故障 管理 和 性 能 管 
列 长 度 检测 网 络 拥塞 ， 可 以 通过 接口 状态 获知 工作 情况 ， 还 可 
输入 错误 率 =ifInErrors/ (ifInUcastPktstifInNUcastPkts) 


管理 。 例 如 ,可 以 通过 检查 进 /出 接口 的 字 节 数 或 队 


以 统计 出 输入 /输出 的 错误 率 。 


输出 错误 率 =ifOutErrors/ (ifOutUcastPktstifOutNUcastPkts) 


另外 ， 该 组 可 以 提供 接口 发 送 的 字 节 3 
(3) 地 址 转换 组 。 地 址 转换 组 包含 一 个 表 ， 


该 表 的 一 生 对 应 系统 的 一 个 物理 接 


， 表 示 网 


络 地 址 到 接口 的 物理 地 址 的 映像 关系 。MIB-2 中 地 址 转换 组 的 对 象 已 被 收编 到 各 个 网 络 协议 组 


中 ， 保 留 地 址 转换 组 仅仅 是 为 了 与 MIB-1 兼容 。 
(4) 耳 组 。 卫 组 提供 了 与 正 协议 有 关 的 信息 。 由 于 端 系统 〈 主 机) 和 中 间 系 统 (路 由 器 ) 
都 实现 了 卫 协议 ， 而 这 两 种 系统 中 包含 的 他 对 象 又 不 完全 相同 ， 所 以 有 些 对 象 是 任 选 的 ， 这 
决 于 是 否 与 系统 有 关 。 卫 组 包含 的 对 象 如 表 11-5 所 示 。 
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表 11-5 IP 组 对 象 

对 象 语 法 访问 方式 功能 描述 
ipForwarding (1) INTEGER RW IP gateway (1), IP host (2) 
ipDefaultTTL (2) INTEGER RW 卫 头 中 的 Time To Live 字段 的 值 
ipInReceives (3) Counter RO 他 层 从 下 层 接收 的 数据 报 总 数 
ipInHdrErrors (4) Counter RO 由 于 下 头 出 错 而 丢弃 的 数据 报 
地 址 出 错 无效 地 址 、 不 支持 的 地 址 和 非 本 
ipInAddrErrors (5) Counter RO 地 主机 地 址 ) 的 数据 报 
ipForwDatagrams (6) Counter RO 已 转发 的 数据 报 
ipInUnknownProtos (7) | Counter RO 不 支持 数据 报 的 协议 ， 因 而 被 丢弃 
ipInDiscards (8) Counter | ”RO | 因 缺 乏 缓冲 资源 而 丢弃 的 数据 报 
ipInDelivers (9) Counter | RO | 由 下 层 提交 给 上 层 的 数据 报 
有 由 IP 层 交 给 下 层 需要 发 送 的 数据 报 ， 不 包 
ipOutRequests (10) Counter | ipForwDatagiami 
ipOutDiscards (11) Counter | RO | 在 输出 端 因 缺 乏 缓冲 资源 而 丢弃 的 数据 报 
ipOutNoRoutes (12) | Counter | ”RO | 没有 到 达 目 标的 路 由 而 丢弃 的 数据 报 
ipReasmTimeout (13) | INTEGER | RO | 数据 段 等 待 重 装配 的 最 长 时 间 ( 秒 ) 
ipReasmReqds (14) Counter | RO | 需要 重 装 配 的 数据 段 
ipReasmOKs (15) Counter | RO | 成 功 重 装 配 的 数据 段 
ipReasmFails (16) Counter | RO | 不 能 重 装 配 的 数据 段 
ipFragOKs (17) Counter | Ro | 分 段 成 功 的 数据 段 
ipFragFails (18) Counter | Ro | 不 能 分 段 的 数据 段 
ipFragCreates (19) Counter RO 产生 的 数据 报 分 段 数 
ipAddrTable (20) SEQUENCE OF NA 卫 地 址 表 
ipRouteTable (21) SEQUENCE OF NA 四 路 由 表 
ipNetToMediaTable (22) | SEQUENCE OF NA 卫 地址 转换 表 
. a 无 效 的 路 由 项 , 包括 为 释放 缓冲 空间 而 丢弃 
ipRoutingDiscards (23) | Counter RO 


(5) ICMP 组 。ICMP 是 人 P 的 伴随 协议 ， 所 有 实现 下 协议 的 节点 都 必须 实现 ICMP 协议 。 
icmp 组 包含 有 关 ICMP 实现 和 操作 的 有 关 信 息 , 它 是 各 种 接收 的 或 发 送 的 ICMP 报 文 的 计数 器 ， 


如 表 11-6 所 示 。 


路 由 项 


E20 
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表 11-6 ICMP 组 对 象 


对 和 象 语 ”法 | 访问 方式 


功能 描述 


icmpInMsgs (1) Counter RO 


接收 的 iemp 报 文 总 数 〈 以 下 为 输入 报 文 ) 


icmpInErors (2) Counter RO 


出 错 的 icmp 报 文 数 


icmpInDestUnreachs (3) Counter 目标 不 可 送 达 型 iemp 报 文 
icmpInTimeExcds (4) Counter 超时 型 icmp 报 文 
icmpInPramProbe (5) Counter 有 参数 问题 型 icmp 报 文 


icmpInSrcQuenchs (6) Counter 
icmpInRedirects (7) Counter 


源 抑制 型 icmp 报 文 
重 定向 型 icmp 报 文 


icmpInEchos (8) | 回声 请 求 型 iemp 报 文 
icmpInEchoReps (9) | counter | Ro | 回声 响应 型 iemp 报 文 
icmpInTimestamps (10) | coumter | Ro | 时 间 蕉 请 求 型 iemp 报 文 
icmpInTimestampReps (11) | comter | Ro | 时 间 惟 响应 型 iemp 报 文 
icmpInAddrMasks (12) | counter | Ro | 地 址 掩 码 请 求 型 icmp 报 文 
icmpInAddrMaskReps (13) | comter | Ro | 地 址 掩 码 响 应 型 iemp 报 文 
icmpOutMsgs (14) | counter | Ro | 输出 的 iemp 报 文 总 数 〈 以 下 为 输出 报 文 ) 
icmpOutErrors (15) | Counter | Ro | 出 错 的 icmp 报 文 数 
icmpOutDestUnreachs (16) | counter | Ro | 目标 不 可 送 达 型 icmp 报 文 
icmpOutTimeExcds (17) | counter | Ro | 超时 型 icmp 报 文 
icmpOutPramProbe (18) ”| Counter | RO | 有 参数 问题 型 icmp 报 文 
icmpOutSrcQuenchs (19) -ss | 源 抑制 型 iemp 报 文 


icmpOutRedirects (20) 


重 定向 型 iemp 报 文 


icmpOutEchos (21) Counter RO 


回声 请 求 型 icmp 报 文 


icmpOutEchoReps (22) Counter RO 


回 


声响 应 型 icmp 报 文 


icmpOutTimestamps (23) Counter 


时 间 戳 请 求 型 icmp 报 文 


icmpOutTimestampReps(24) | Counter 时 间 截 响应 型 icmp 报 文 
icmpOutAddrMasks (25) Counter 地 址 掩 码 请 求 型 icmp 报 文 
icmpOutAddrMaskReps (26) el 地 址 掩 码 响 应 型 icmp 报 文 


(6) TCP 组 。TCP 组 包含 与 TCP 协议 的 实现 和 操作 有 关 的 信息 ， 这 一 组 的 前 3 项 与 重 传 


有 关 。 当 一 个 TCP 实体 发 送 数 据 段 后 就 等 待 应 答 ， 
认为 数据 段 丢 失 了 ， 因 而 要 


并 开始 计时 。 如 果 超 时 后 没有 得 到 应 答 


新 发 送 。TCP 组 包含 的 对 象 如 表 11-7 所 示 。 


,就 
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表 11-7 TCP 组 对 象 


对 和 象 语 法 访问 方式 功能 描述 
tcpRtoAlgorithm (1) | INTEGER RO 重 传 时 间 算 法 
tcpRtoMin (2) INTEGER RO 重 传 时 间 最 小 值 
tcpRtoMax (3) INTEGER RO 重 传 时 间 最 大 值 
tcpMaxConn (4) INTEGER RO 可 建立 的 最 大 连接 数 
tcpActiveOpens (5) | Counter RO 主动 打开 的 连接 数 
tcpPassiveOpens (6) | Counter | RO | 被 动 打 开 的 连接 数 
tcpAttemptFails (7) | Counter | RO | 连接 建立 失败 数 
tcpEstabResets (8) | Counter | ro | 连接 复位 数 
tcpCurrEstab (9) Gauge | ro | 状态 为 established 或 closeWait 的 连接 数 
tepInSegs (10) Counter | RO | 接收 的 TCP 段 总 数 
tcpOutSegs (11) Counter | RO | 发 送 的 TCP 段 总 数 
tcpRetransSegs (12) | Counter | RO | 重 传 的 TCP 段 总 数 
tcpConnTable (13) | SEQUENCE OF 连接 表 
tcpInErrors (14) Counter | RO | 接收 的 出 错 TCP 段 数 
tcpOutRests (15) | Counter | 。 RO ”| 发 出 的 含 RST 标志 的 段 数 


(7) UDP 组 。UDP 组 类 似 于 TCP 组 ， 它 包含 了 关于 UDP 数据 报 和 本 地 接收 端点 的 详细 
信息 。 

(8) EGP 组 。EGP 组 提供 了 关于 EGP 路 由 器 发 送 和 接收 的 EGP 报 文 的 信息 ， 以 及 关于 
EGP 邻居 的 详细 信息 等 。 

(9) 传输 组 。 设 置 这 一 组 的 目的 是 针对 各 种 传输 介质 提供 详细 的 管理 信息 ， 事 实 上 这 不 是 
一 个 组 ， 而 是 一 个 联系 各 种 接口 专用 信息 的 特殊 节点 。 前 面 介 绍 过 的 接口 组 包含 各 种 接口 通用 
的 信息 ， 而 传输 组 提供 与 子 网 类 型 有 关 的 专用 信息 。 


11.5.3 SNMPv2 管理 信息 库 


SNMPv2 MIB 扩展 和 细 化 了 MIB-2 中 定义 的 管理 对 象 ， 又 增加 了 新 的 管理 对 象 。 

(1) 系统 组 。SNMPv2 的 系统 组 是 MIB-2 系统 组 的 扩展 ， 图 11-32 所 示 为 这 个 组 的 管理 对 
象 。 可 以 看 出 ， 这 个 组 只 是 增加 了 与 对 象 资 源 (Object Resource ) 有 关 的 一 个 标量 对 象 
sysORLastChange 和 一 个 表 对 象 sysORTable， 它 仍然 属于 MIB-2 的 层次 结构 。 所 谓 对 象 资源 ， 
是 指 由 代理 实体 使 用 和 控制 的 、 可 以 由 管理 站 动态 配置 的 系统 资源 。 标 量 对 象 sysORLastChange 
记录 着 对 象 资源 表 中 描述 的 对 象 实例 改变 状态 (或 值 ) 的 时 间 。 对 象 资源 表 是 一 个 只 读 的 表 ， 
每 一 个 可 动态 配置 的 对 象 资源 占用 一 个 表 项 。 
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System(mib-2) 

sysDescr(1) 

sysObject(2) 

sysUpTime(3) 

syscontact(4) 

sysName(5) 

sysLocation(6) 

sysService(1) 

sysORTable(9) 

sysOREntry(1) 

sysORIndex(1) 
sysORID(2) 
sysORDescr(3) 
sysORUpTime(4) 


图 11-32 ”SNMPv2 系统 组 
(2) SNMP 组 。 这 个 组 是 由 MIB-2 的 对 应 组 改造 而 成 的 ， 有 些 对 象 被 删除 了 ， 同 时 又 增加 
了 一 些 新 对 象 ， 如 图 11-33 所 示 。 
Snmp(mib-2 11) 
一 一 一 sompInPkts (1) 传 输 层 服务 提交 给 SNMP 实 体 的 报 文 数 
一 一 一 sampInBadVersions(3) 接 收 的 含有 版 本 错误 的 报 文 数 
一 一 一 snmpInBadCommunityNames (4 接收 的 含有 团体 名 错误 的 报 文 数 
一 一 一 snmpInBadCommunityUses (5) 含 有 不 支持 的 团体 操作 的 报 义 数 
一 一 snmpInASNParseErrs(6) 含 有 ASN 译 码 错误 的 报 文 数 
一 一 一 snmpEnableAuthenTraps(30) 认 证 失效 陷入 工作 (1) ,认证 失效 陷入 不 工作 (2) 


一 一 一 snmpSilentDrops(31) 由 于 响应 报 文 太 长 无 法 应 答 而 丢弃 的 请 求 报 文 总 数 
一 一 一 snmpProxyDrops (32) 由 于 向 委托 代理 传送 报 文 失败 无 法 应 答 而 丢弃 的 请 求 报 文 数 


图 11-33 改进 的 SNMP 组 
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(3) MIB 对 象 组 。 这 个 新 组 包含 的 对 象 与 管理 对 象 的 控制 有 关 , 分 为 两 个 子 组 , 如 图 11-34 
所 示 。 第 一 个 子 组 snmpTrap 由 两 个 对 象 组 成 。 
snmpMIBObjects (snmpMIB 1) 
— snmpTrap(4) 
snmpTrapOID (1) 


snmpTrapEnterprise (2) 


-一 snmpset(0) 
snmpSerialNo(1) 
图 11-34 SNMP MIB 对 象 组 


。 snmpTrapOID: 这 是 正在 发 送 的 陷入 或 通知 的 对 象 标识 符 ， 这 个 变量 出 现在 陷入 PDU 
或 通知 请 求 PDU 的 变量 绑 定 表 中 的 第 二 项 。 

。 ”snmpTrapEnterprise: 这 是 与 正在 发 送 的 陷入 有 关 的 制造 商 的 对 象 标识 符 ， 当 SNMPv2 
的 委托 代理 把 一 个 RFC1157 陷入 PDU 映像 到 SNMPv2 陷入 PDU 时 ， 这 个 变量 出 现 
在 变量 绑 定 表 的 最 后 。 

第 二 个 子 组 snmpSet 仅 有 一 个 对 象 sampSerialNo， 这 个 对 象 用 于 解决 set 操作 中 可 能 出 现 
的 两 个 问题 。 

@ 一 个 管理 站 可 能 向 同一 个 MIB 对 象 发 送 多 个 set 操作 ， 保 证 这 些 操作 按照 发 送 的 顺序 
在 MIB 中 执行 是 必要 的 ， 即 使 在 传送 过 程 中 次 序 发 生 了 错乱 也 是 这 样 。 

@ 多 个 管理 站 对 MIB 的 并 发 操作 可 能 破坏 了 数据 库 的 一 致 性 和 精确 性 。 

(4) 接口 组 。MIB-2 定义 的 接口 组 经 过 一 段 时 间 的 使 用 ， 发 现 有 很 多 缺陷 。RFC1573 分 析 
了 原来 的 接口 组 没有 提供 的 功能 和 其 他 不 足 之 处 。 

@ 接口 编号 。MIB-2 接口 组 定义 变量 ifNumber 作为 接口 编号 ， 而 且 是 常数 ， 这 对 于 允许 
动态 增加 /删除 网 络 接口 的 协议 〈 例 如 SLIPIPPP) 是 不 合适 的 。 

@ 接口 子 层 。 有 时 需要 区 分 网 络 层 下 面 的 各 个 子 层 ， 而 MIB-2 没有 提供 这 个 功能 。 

图 虚 电 路 问题 。 对 应 一 个 网 络 接口 可 能 有 多 个 虚 电 路 。 

@ 不 同 传输 特性 的 接口 。MIB-2 接口 表 记 录 的 内 容 只 适合 基于 分 组 传输 的 协议 ， 不 适合 
面向 字符 的 协议 〈 例 如 PPP，EIARS-232)， 也 不 适合 面向 位 的 协议 〈 例 如 DS1) 和 固定 信息 长 
度 传输 的 协议 〈 例 如 ATMD)。 

@@ 计数 长 度 。 当 网 络 速度 增加 时 ，32 位 的 计数 器 经 常 溢出 回 零 。 


下 84 让。 网 儿 工 程 山 教程 (第 5 版 ) 


@ 接口 速度 。ifSpeed 最 大 为 (21) bps， 但 是 现在 有 的 网 络 速度 已 远 远 超过 这 个 限制 ， 
例如 SONET OC-48 为 2.448Gbps。 

@ 组 播 /广播 分 组 计数 。MIB-2 接口 组 不 区 分 组 播 分 组 和 广播 分 组 ， 但 分 别 计数 有 时 是 有 
用 的 。 

接口 类 型 。ifType 表示 接口 类 型 ，MIB-2 定义 的 接口 类 型 不 能 动态 增加 ， 只 能 在 推出 新 
的 MIB 版 本 时 再 增加 ， 这 个 过 程 一 般 需 要 几 年 时 间 。 

@ ifspecific 问题 。MIB-2 对 这 个 变量 的 定义 很 含糊 。 有 的 实现 给 这 个 变量 赋予 介质 专用 
的 MIB 的 对 象 标识 符 , 有 的 实现 赋予 介质 专用 表 的 对 象 标识 符 , 或 者 是 这 种 表 的 入 口 对 象 标识 
符 ， 甚 至 是 表 的 索引 对 象 标识 符 。 

根据 以 上 分 析 ，RFC1573 对 MIB-2 接口 组 做 了 一 些小 的 修改 ， 纠 正 了 上 面 提 到 的 问题 。 
例如 ， 重 新 规定 ifIndex 不 再 代表 一 个 接口 ， 而 是 用 于 区 分 接口 子 层 ， 而 且 不 再 限制 ifIndex 的 
取 值 必须 在 1~ifNumber 之 间 。 这 样 对 应 一 个 物理 接口 可 以 有 多 个 代表 不 同 风 辑 子 层 的 表 行 ， 
还 允许 动态 地 增加 /删除 网 络 接口 。RFC1573 废除 了 有 些 用 处 不 大 的 变量 ， 例 如 ifnNUcastPkts 
和 ifOutNUPkts, 它们 的 作用 已 经 被 接口 扩展 表 中 的 新 变量 代替 。 由 于 变量 ifoutQLen 在 实际 中 
很 少 实现 ， 也 被 废除 了 。 变 量 ifSpecific 由 于 前 述 原因 也 被 废除 了 ， 它 的 作用 已 被 ifType 代替 。 
同时 把 ifType 的 语法 改变 为 IANAifType， 这 种 类 型 可 以 由 Intemet 编码 机 构 (Internet Assigned 
Number Authorty) 随时 更 新 ， 从 而 不 受 MIB 版 本 的 限制 。 


11.6 RMON 


11.6.1 ”RMON 的 基本 概念 


通常 用 于 监视 整个 网 络 通信 情况 的 设备 叫 作 网 络 监视 器 〈Monitor ) 或 网 络 分 析 器 
(Analyzer)、 探 测 器 〈Probe) 等 。 监 视 器 观察 LAN 上 出 现 的 每 个 分 组 ， 并 进行 统计 和 总 结 ， 
给 管理 人 员 提 供 重 要 的 管理 信息 。 监 视 器 还 能 存储 部 分 分 组 ， 供 以 后 分 析 用 。 监 视 器 也 根据 分 
组 类 型 进行 过 滤 并 捕获 特殊 的 分 组 。 通常 是 每 个 子 网 配置 一 个 监视 器 , 并 且 与 中 央 管 理 站 通信 ， 
因此 叫 作 远程 监视 器 ， 如 图 11-35 所 示 。 图 中 监视 器 可 以 是 一 个 独立 设备 ， 也 可 以 是 运行 监视 
器 软件 的 工作 站 或 服务 器 等 。 中 央 管理 站 具有 RMON 管理 能 力 ， 能 够 与 各 个 监视 器 交换 管理 
信息 。RMON 监视 器 或 探测 器 (RMON Probe) 实现 RMON 管理 信息 库 (RMON MIB)。 这 种 
系统 与 通常 的 SNMP 代理 一 样 包含 一 般 的 MIB， 另 外 还 有 一 个 探测 器 进程 ， 提 供与 RMON 有 
关 的 功能 。 探 测 器 进程 能 够 读 /写本 地 的 RMON 数据 库 ， 并 响应 管理 站 的 查询 请 求 。 所 以 ， 也 
把 RMON 探测 器 称 为 RMON 代理 。 


第 11 章 网 络 管理 


RMON Probe 


RMON Probe 
四 


RMON Probe | 
口 


图 11-35 ”远程 网 络 监视 的 配置 


RMON 定义 了 远程 网 络 监视 的 管理 信息 库 ， 以 及 SNMP 管理 站 与 远程 监视 器 之 间 的 接口 。 
一 般 来 说 ， RMON 的 目标 就 是 监视 子 网 范围 内 的 通信 ， 从 而 减少 管理 站 和 被 管理 系统 之 间 的 通 
信和 负担 。 更 具体 地 说 ，RMON 有 下 列 目 标 : 

(1) 离线 操作 。 必 要 时 管理 站 可 以 停止 对 监视 器 的 轮 询 ， 有 限 的 轮 询 可 以 节省 网 络 带宽 和 
通信 费用 。 

(2) 主动 监视 。 如 果 监 视 器 有 足够 的 资源 ， 通 信和 负载 也 容许 ， 监 视 器 可 以 连续 地 或 周期 地 
运行 诊断 程序 ， 收 集 并 记录 网 络 性 能 参数 。 

(3) 问题 检测 和 报告 。 如 果 主 动 监 视 消 耗 网 络 资源 太 多 ， 监 视 器 也 可 以 被 动 地 获取 网 络 
数据 。 

(4) 提供 增值 数据 。 监 控 器 可 以 分 析 收 集 到 的 子 网 数据 ， 从 而 减轻 了 管理 站 的 计算 任务 。 

(5) 多 管理 站 操作 。 一 个 因特网 可 能 有 多 个 管理 站 ， 这 样 可 以 提高 可 靠 性 ， 或 者 分 布地 实 
现 各 种 不 同 的 管理 功能 。 


11.6.2 RMON 的 管理 信息 库 


RMON 规范 定义 了 管理 信息 库 RMON MIB, 它 是 MIB-2 下 面 的 第 16 个 子 树 。 RMON MIB 
分 为 10 组 ,如 图 11-36 所 示 。 存储 在 每 一 组 中 的 信息 都 是 监视 器 从 一 个 或 几 个 子 网 中 统计 和 收 
集 的 数据 。 这 10 个 功能 组 都 是 任 选 的 ， 但 实现 时 有 下 列 连带 关系 : 

(1) 实现 警报 组 时 必须 实现 事件 组 ， 警 报 就 是 对 某 种 网 络 事件 的 警告 。 

(2) 实现 最 高 台 主 机 组 时 必须 实现 主机 组 ， 因 为 最 高 N 台 主 机 组 是 从 主机 组 中 提取 出 
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来 的 。 
rmon (mib-2 16) 

statistics(1) 以 太子 网 的 统计 信息 
history(2) 子 网 的 周期 性 统计 信息 
alarmG) 用 于 定义 取样 间隔 和 报警 门限 
host(4) 关 于 一 个 主机 的 通信 统计 数据 
hostTopN(5) 某 种 参数 最 大 的 N 台 主机 的 统计 数据 
matrix(6) 一 对 地 址 之 间 的 通信 统计 数据 
filter(7) 对 分 组 进行 过 滤 的 信息 
capture(8) 捕 获 特殊 分 组 的 信息 
event(9) 定 义 网 络 事件 的 信息 
tokenRing (10) 关 于 令 牌 环 网 的 配置 和 统计 信息 


图 11-36 RMON MIB 子 树 


(3) 实现 捕获 组 时 必须 实现 过 滤 组 ， 经 过 过 滤 的 分 组 可 以 被 捕获 。 


11.6.3 RMON2 的 管理 信息 库 rmon (mib-2 16) 

RMON?2 监视 OSVRM 第 3 一 7 层 的 通信 ， 能 对 ee 
数据 链 路 层 以 上 的 分 组 进行 译 码 , 这 使 得 监视 器 可 以 ProtocolDist(12) 
管理 人 P 协议 等 网 络 层 协 议 ， 因 而 能 了 解 分 组 的 源 和 

addressMap(13) 
目标 地 址 , 能 知道 路 由 器 负载 的 来 源 , 使 得 监视 的 范 
围 扩大 到 局 域 网 之 外 。 监 视 器 也 能 监视 应 用 层 协议 ， [一 一 一 mostd4) 
例如 电子 邮件 协议 、 文 件 传输 协议 和 HTTP 协议 等 ， nlMatrix(15) 
这 样 监视 器 就 可 以 记录 主机 应 用 活动 的 数据 ,可 以 显 
示 各 种 应 用 活动 的 图 表 , 这 些 对 网 络 管理 人 员 都 是 很 rtd 
重要 的 信息 。 另 外 , 在 网 络 管理 标准 中 , 通常 把 网 络 alMatrix(17) 
层 之 上 的 协议 叫 作 应 用 层 协 议 , 以 后 提 到 的 应 用 层 包 | usrHistory(18) 
含 OSI 的 5、6、7 层 。 

probeConfig(19) 


RMON?2 扩充 了 原来 的 RMON MIB， 增 加 了 9 
个 新 的 功能 组 ， 如 图 11-37 所 示 。 图 11-37 RMON2 MIB 
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11.7 网络 诊断 和 配置 命令 


Windows 提供 了 一 组 实用 程序 来 实现 简单 的 网 络 配置 和 管理 功能 ， 这 些 实用 程序 通常 以 
DOS 命令 的 形式 出 现 。 用 键盘 命令 来 显示 和 改变 网 络 配置 ， 感 觉 就 像 直 接 操控 硬件 一 样 ， 不 但 
操作 简单 方便 ， 而 且 效 果 立 即 显现 ; 不 但 能 详细 了 解 网 络 的 配置 参数 ， 而 且 提高 了 网 络 管理 的 
效率 。 所 以 ， 掌 握 常 用 的 网 络 管理 命令 是 网 络 管理 人 员 的 基本 技能 ， 必 须 坚持 使 用 ， 才 能 驾 轻 
就 熟 。 

Windows 的 网 络 管理 命令 通常 以 exe 文件 的 形式 存储 在 system32 目录 中 ,在 “开始 ”菜单 
中 运行 命令 解释 程序 Cmd.exe 进入 DOS 命令 窗口 ， 可 以 执行 任何 实用 程序 。 下 面 的 一 些 例子 
都 是 在 DOS 窗口 中 截图 的 。 


11.7.1 ipconfig 


ipconfig 命令 相当 于 Windows 9x 中 的 图 形 化 命令 winipcfg, 是 最 常用 的 Windows 实用 程序 ， 
可 以 显示 所 有 网 卡 的 TCP/IP 配置 参数 ， 可 以 刷新 动态 主机 配置 协议 (DHCP) 和 域名 系统 的 设 
置 。ipconfig 的 语法 如 下 。 


ipconfig [/all] [/renew[Adapter]] [/release[Adapter]] [/flushdns] [/displaydns] [/registerdns] [/showclassid 
Adapter] [/setclassid Adapter [Class1D]] 


对 以 上 命令 参数 解释 如 下 。 

.。 /7 

显示 帮助 信息 ， 对 本 章 中 其 他 命令 有 同样 作用 。 

e /all 

显示 所 有 网 卡 的 TCP/IP 配置 信息 。 如 果 没有 该 参数 ， 则 只 显示 各 个 网 卡 的 下 地址 、 子 网 
掩 码 和 默认 网 关 地 址 。 

e /renew [Adapter] 

更 新 网 卡 的 DHCP 配置， 如果 使 用 标识 符 4dapter 说 明了 网 卡 的 名 字 ， 则 只 更 新 指定 网 卡 
的 配置 ， 否 则 更 新 所 有 网 卡 的 配置 。 这 个 参数 只 能 用 于 动态 配置 PP 的 计算 机 。 使 用 不 带 参数 的 
ipconfig 命令 ， 可 以 列 出 所 有 网 卡 的 名 字 。 

e /release[Adapter] 

向 DHCP 服务 器 发 送 DHCP Release 请 求 ， 释 放 网 卡 的 DHCP 配置 参数 和 当前 使 用 的 中 
地 址 。 

e /flushdns 

刷新 客户 端 DNS 缓存 的 内 容 。 在 DNS 排 错 期 间 ， 可 以 使 用 这 个 命令 丢弃 负 缓 存 项 以 及 其 
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他 动态 添加 的 缓存 项 。 
e /displaydns 
显示 客户 端 DNS 缓存 的 内 容 ， 该 缓存 中 包含 从 本 地 主机 文件 中 添加 的 预 装载 项 ， 以 及 最 

近 通 过 名 字 解 析 查 询 得 到 的 资源 记录 。 DNS 客户 端 服务 使 用 这 些 信 息 快速 处 理 经 常 出 现 的 名 字 

查询 。 
® /registerdns 
刷新 所 有 DHCP 租约 ， 重 新 注册 DNS 名 字 。 在 不 重启 计算 机 的 情况 下 ， 可 以 利用 这 个 参 

数 来 排除 DNS 名 字 注 册 中 的 故障 ， 解 决 客户 端 和 

DNS 服务 器 之 间 的 手工 动态 更 新 间 题 ， 可 以 利用 

“高 级 TCP/IP 设置 ”来 注册 本 地 连接 的 DNS 后 级 ， 

如 图 11-38 所 示 。 
® /showclassid Adapter 
显示 网 卡 的 DHCP 类别 ID。 利 用 通配符 “*?” 

代替 标识 符 Adapter， 可 以 显示 所 有 网 卡 的 DHCP 类 

别 ID。 这 个 参数 仅 适用 于 自动 配置 卫 地址 的 计算 


| 理 设 置 | NS wrxs Ji 过 项 | 
DIS 服务 器 地 址 ( 控 使 用 顺序 排列 ) QD 


ts ] 到 
到 


E27 珊 了 叫 ) 


> i TCP/I 的 连接 。 要 解析 不 合格 的 


回 附 加 主要 的 和 连接 特定 的 DNS 后 最 中 ) 
加 附加 主 DRS 后 如 的 父 后 妖 &) 
口 附加 这 些 DNS 后 如 ( 控 顺 序 ) QD 


机 ， 可 以 根据 某 种 标准 把 DHCP 客户 端 划分 成 不 同 ee 
的 类 别 ， 以 便于 管理 。 例 如 ， 将 移动 客户 划分 到 租 i 一 
约 期 较 短 的 类 , 将 固定 客户 划分 到 租约 期 较 长 的 类 。 | ss ns jm i 

® /setclassid Adapter[ClassID] 国人 

对 指定 的 网 卡 设置 DHCP 类 别 ID。 如 果 未 指定 CE 


DHCP 类 别 JP， 则 会 删除 当前 的 类 别 ID。 
如 果 Adapter 名 称 包 含 空 格 ， 则 要 在 名 称 两 边 图 11-38 ”高 级 TCP/IP 设置 
使 用 引号 〈 即 "Adapter 名 称 ")。 在 网 卡 名 称 中 可 以 使 用 通配符 星 号 “*” 例如 ，Local* 可 以 代 
表 所 有 以 字符 串 Local 开头 的 网 卡 ， 而 *Con* 可 以 表示 所 有 包含 字符 串 Con 的 网 卡 。 
ipconfig 命令 最 适合 于 自动 分 配 他 地 址 的 计算 机 , 使 用 户 可 以 明确 区 分 DHCP 或 自动 专用 
四 地 址 (APIPA) 配置 的 参数 。 
举例 如 下 。 
(1) 如 果 要 显示 所 有 网 卡 的 基本 TCP/IP 配置 参数 ， 输 入 : 


ipconfig 
(2) 如 果 要 显示 所 有 网 卡 的 完整 TCP/P 配置 参数 ， 输 入 : 


ipconfig /all 
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(3) 如 果 仅 更 新 本 地 连接 的 网 卡 由 DHCP 分 配 的 下 地 址 ， 输 入 : 


ipconfig /renew "Local Area Connection" 

(4) 在 排除 DNS 名 称 解析 故障 时 ， 如 果 要 刷新 DNS 解析 器 缓存 ， 输 入 : 
ipconfig /fushdns 

(5) 如 果 要 显示 名 称 以 Local 开头 的 所 有 网 卡 的 DHCP 类 别 ID， 输 入 : 
ipconfig /showclassid Local* 

(6) 如 果 要 将 “本 地 连接 ”网 卡 的 DHCP 类 别 ID 设置 为 TEST， 输 入 : 


ipconfig /setclassid "Local Area Connection" TEST 


图 11-39 是 用 ipconfig/all 命令 显示 的 网 络 配 置 参数 ， 其 中 列 出 了 主机 名 、 网 卡 物理 地 址 和 


DHCP 租约 期 由 DHCP 分 配 的 人 地址 、 子 网 掩 码 、 默 认 网 关 和 DNS 服务 器 的 他 地 址 等 
参数 。 图 11-40 是 利用 参数 showclassid 显示 的 “本 地 连接 ”的 类 别 标识 。 


iS 980-Based PCI Past Ethernet Adaptor 
: 68-83-8D-87-83-7F 


= 188.188- 


图 11-39 ipconfig 命令 显示 的 结果 


图 11-40 ipconfig/showclassid 命令 显示 的 结果 


1 9 


上 且 . 
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| 


ping 命令 通过 发 送 ICMP 回声 请 求 报 文 来 检验 与 另外 一 个 计算 机 的 连接 。 这 是 一 个 用 于 排 
除 连 接 故 障 的 测试 命令 ， 如 果 不 带 参数 则 显示 帮助 信息 。ping 命令 的 语法 如 下 。 


ping [-t] [-a] [-n Couni] [-1 Size] [-f] [-i 77Z] [-v TOS] [-r Couni] [-s Counit] [{-] HostList | -k HostList}] 
[-w Timeout] [TargetName] 


对 以 上 命令 参数 解释 如 下 。 

. 流 

持续 发 送 回声 请 求 直 到 输入 CtrlHBreak 或 CtltC 被 中 断 , 前 者 显示 统计 信息 ,后 者 不 显示 
统计 信息 。 

® -a 


用 了 正 地 址 表示 目标 ， 进 行 反 向 名 字 解 析 ， 如 果 命令 执行 成 功 ， 则 显示 对 应 的 主机 名 。 
e -nCount 


说 明 发 送 回声 请 求 的 次 数 ， 默 认为 4 次 。 


e -Size 

说 明了 回声 请 求 报 文 的 字 节 数 ， 默 认 是 32， 最 大 为 65 527。 

e 二 

在 正 头 中 设置 不 分 段 标 志 ， 用 于 测试 通路 上 传输 的 最 大 报 文 长 度 。 

e -177Z 

说 明 耳 头 中 ITTL 字段 的 值 ,通常 取 主机 的 TIL 值 , 对 于 Windows XP 主机 , 这 个 值 是 128， 
最 大 为 255。 

®。 -viOS 


说 明了 下 头 中 TOS (Type of Service) 字段 的 值 ， 默 认 值 是 0。 

® -TCount 

在 正 头 中 添加 路 由 记录 选项 ，Count 表示 源 和 目标 之 间 的 跃 点 数 ， 其 值 在 1 一 9 之 间 。 
® -SCoant 


在 四 头 中 添加 时 间 蕉 (timestamp) 选项 ， 用 于 记录 达到 每 一 跃 点 的 时 间 ，Count 的 值 在 1 一 4 


之 间 。 

® -HostList 

在 下 头 中 使 用 松散 源 路 由 选项 ，HostList 指明 中 间 节 点 (路 由 器 的 地 址 或 名 字 ， 最 多 9 
个 ， 用 空格 分 开 。 


e  -kHostList 
在 下 头 中 使 用 严格 源 路 由 选项 ，HostList 指明 中 间 节 点 (路 由 器 的 地 址 或 名 字 ， 最 多 9 
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用 空格 分 开 。 

® -wTimeout 

指明 等 待 回 声响 应 的 时 间 (hs)， 如 果 响 应 超时 ， 则 显示 出 错 信息 Request timed out， 默 认 
超时 间隔 为 4s。 

e TargetName 

用 下 地 址 或 主机 名 表示 目标 设备 。 

使 用 ping 命令 必须 安装 并 运行 TCP/IP 协议 ， 可 以 使 用 下 地址 或 主机 名 来 表示 目标 设备 。 
如 果 ping 一 个 中 地址 成 功 ， 但 ping 对 应 的 主机 名 失败 ， 则 可 以 断定 名 字 解 析 有 问题 。 无 论 名 
字 解 析 是 通过 DNS、NetBIOS， 还 是 通过 本 地 主机 文件 ， 都 可 以 用 这 个 方法 进行 故障 诊断 。 

举例 如 下 。 

(1) 如 果 要 测试 目标 10.0.99.221 并 进行 名 字 解 析 ， 则 输入 


ping -a 10.0.99.221 


(2) 如 果 要 测试 目标 10.0.99.221， 发 送 10 次 请 求 ， 每 个 响应 为 1000 字 节 ， 则 输入 
ping -n 10 -1 1000 10.0.99.221 
(3) 如 果 要 测试 目标 10.0.99.221， 并 记录 4 个 跃 点 的 路 由 ， 则 输入 


ping -r 4 10.0.99.221 


(4) 如 果 要 测试 目标 10.0.99.221， 并 说 明 松 散 源 路 由 ， 则 输入 
ping -j 10.12.0.1 10.29.3.1 10.1.44.1 10.0.99.221 


图 11-41 所 示 为 ping www.163.com.cn 的 结果 。 


图 11-41 ping 命令 的 显示 结果 


arp 命令 用 于 显示 和 修改 地 址 解析 协议 缓存 表 的 内 容 ， 缓 存 表 项 是 中 地 址 与 网 卡 地 址 对 。 


so 
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计算 机 上 安装 的 每 个 网 卡 各 有 一 个 缓存 表 。 如 果 使 用 不 含 参数 的 arp 命令 ， 则 显示 帮助 信息 。 
arp 命令 的 语法 如 下 : 

arp [-a [InetiAddr] [-N WaceAddr]] [-g [Inei4ddr] [-N YaceAddr]] [-d InetAddr [JfaceAddr]] [-s InetAddr 
EtherAddr [JfaceAddr]] 


对 以 上 命令 参数 解释 如 下 。 

e -ametdddr] [-N JfaceAddr] 

显示 所 有 接口 的 ARP 缓存 表 。 如 果 要 显示 特定 他 地 址 的 ARP 表 项 , 则 使 用 参数 InetAddr; 
如 果 要 显示 指定 接口 的 ARP 缓存 表 , 则 使 用 参数 -N IfaceAddr。 这 里 , N 必须 大 写 。 InetAddr 
和 IfaceAddr 都 是 也 地 址 。 

e -gl[InetAddr] [-N JaceAddr] 

与 参数 -a 相同 。 

® -diInetAddr[ JaceAddr |] 

删除 由 InetAddr 指示 的 ARP 缓存 表 项 。 如 果 要 删除 特定 接口 的 ARP 缓存 表 项 ， 使 用 
参数 IaceAddr 指明 接口 的 了 P 地 址 ， 如 果 要 删除 所 有 ARP 缓存 表 项 ， 使 用 通配符 “*” 代 
禁 参 数 InetAddr。 

® -sf/InetAddr EtherAddr {[ JfaceAddr] 

添加 一 个 静态 的 ARP 表 项 ,把 他 地 址 InetAddr 解析 为 物理 地 址 EtherAddr。 参 数 IfaceAddr 
指定 了 接口 的 下 地址。 

全 地址 InetAddr 和 IfaceAddr 用 点 分 十 进 制 表示 。 物 理 地 址 EtherAddr 由 6 个 字 节 组 成 ， 
每 个 字 节 用 两 个 十 六 进 制 数 表示 ， 字 节 之 间 用 连 字符 “-” 分 开 ， 例 如 00-AA-00-4F-2A-9C。 

用 参数 -s 添加 的 ARP 表 项 是 静态 的 , 不 会 由 于 超时 而 被 删除 。 如果 TCP/IP 协议 停止 运行 ， 
ARP 表 项 都 被 删除 。 为 了 生成 一 个 固定 的 静态 表 项 ， 可 以 在 批文 件 中 加 入 适当 的 arp 命令 ， 并 
在 计算 机 启动 时 运行 批文 件 。 

举例 如 下 。 

(1) 如 果 要 显示 ARP 缓存 表 的 内 容 ， 输 入 : 


arp -a 
(2) 如 果 要 显示 人 P 地 址 为 10.0.0.99 的 接口 的 ARP 缓存 表 ， 输 入 : 
arp -a -N 10.0.0.99 


(3) 如 果 要 添加 一 个 静态 表 项 ， 把 人 P 地 址 10.0.0.80 解析 为 物理 地 址 00-AA-00-4F-2A-9C， 
则 输入 : 


arp -s 10.0.0.80 00-AA-00-4F-2A-9C 
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图 11-42 所 示 为 使 用 arp 命令 添加 一 个 静态 表 项 的 例子 。 


ARdminis 


Gx18883 
al Addr Type 
dynanic 


IC: \Docunents and Settings\Adni ratorYarp -s 282.117.17.254 G0-1c-4f-! 


:Docume nd Settings\Adninis 


Interface 
Interne 
199.19B.17.7 9 dynanic 
199.199.17 80-48-d8-53-bf- dynanic 
199.199.17 88-9f ‘ dynanic 
292 .117 98-1c-4f c static 


图 11-42 ”使 用 arp 命令 的 例 


11.7.4 netstat 


netstat 命令 用 于 显示 TCP 连接 .计算机 正在 监听 的 端口 以太 网 统计 信息 、 卫 路 由 表 、IPv4 
统计 信息 (包括 全、ICMP、TCP 和 UDP 等 协议 ) 和 JPv6 统计 信息 (包括 IPv6、ICMPv6、TCP 
over IPv6 和 UDP over IPv6 等 协议 ) 等 。 如 果 不 使 用 参数 ， 则 显示 活动 的 TCP 连接 。netstat 命 
令 的 语法 如 下 。 

netstat [-a] [-e] [-n] [-o] [-p Protoco/] [-r] [-s] [zervo 如 


对 以 上 参数 解释 如 下 。 


. -a 
显示 所 有 活动 的 TCP 连接 ， 以 及 正在 监听 的 TCP 和 UDP 端口 。 
入 -€ 


显示 以 太 网 统计 信息 ， 例 如 发 送 和 接收 的 字 节 数 ， 以 及 出 错 的 次 数 等 。 这 个 参数 可 以 与 -s 
参数 联合 使 用 。 
. “和 
显示 活动 的 TCP 连接 ， 地 址 和 端口 号 以 数字 形式 表示 。 
外 “起 
显示 活动 的 TCP 连接 以 及 每 个 连 交 对 应 的 进程 ID。 在 Windows 任务 管理 器 中 可 以 找到 与 
进程 ID 对 应 的 应 用 。 这 个 参数 可 以 与 -a、-n 和 -p 联合 使 
e -ppProtocol 
用 标识 符 Protocol 指定 要 显示 的 协议 ， 可 以 是 TCP、UDP、TCPv6 或 者 UDPv6。 如 果 与 参 
数 -s 联合 使 用 ， 则 可 以 显示 协议 TCP、UDP、ICMP、 卫 了 、TCPv6、UDPv6、ICMPv6 或 Pv6 的 


sb 
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统计 数据 。 

. -5 

显示 每 个 协议 的 统计 数据 。 默 认 情 况 下 ， 统 计 TCP、UDP、ICMP 和 卫 协议 发 送 及 接收 
的 数据 包 、 出 错 的 数据 包 、 连 接 成 功 或 失败 的 次 数 等 。 如 果 与 -p 参数 联合 使 用 ， 可 以 指定 要 显 


示 统 计数 据 的 协议 。 

® -I 

显示 也 路 由 表 的 内 容 ， 其 作用 等 价 于 路 由 打印 命令 route print。 

® Interval 

说 明 重新 显示 信息 的 时 间 间 隔 , 输入 CtltC 则 停 目 显示。 如果 不 使 用 这 个 参数 ， 则 只 显示 
一 次 。 


netstat 显示 的 统计 信息 分 为 4 栏 或 5 栏 ， 解 释 如 下 。 

。 ”Proto: 表示 协议 的 名 字 〈 例 如 TCP 或 UDP)。 

。 Local Address: 本 地 计算 机 的 地 址 和 端口 。 通 常 显示 本 地 计算 机 的 名 字 和 端口 名 字 ( 例 
如 ftp)， 如 果 使 用 了 -n 参数 ， 则 显示 本 地 计算 机 的 了 P 地 址 和 端口 号 。 如 果 端 口 尚 未 建 
立 ， 则 用 “*” 表 示 。 

。 Foreign Address: 远程 计算 机 的 地 址 和 端口 。 通 常 显示 远程 计算 机 的 名 字 和 端口 名 字 
(例如 ftp)， 如 果 使 用 了 -n 参数 ， 则 显示 远程 计算 机 的 了 P 地 址 和 端口 号 。 如 果 端 口 尚 
未 建立 ， 则 用 “*” 表 示 。 

。 State: 表示 TCP 连接 的 状态 ， 用 下 面 的 状态 名 字 表 示 。 

CLOSE WAIT: 收 到 对 方 的 连接 释放 请 求 。 

CLOSED: 连接 已 关闭 。 

ESTABLISHED: 连接 已 建立 。 

FIN WAIT 1: 已 发 出 连接 释放 请 求 。 

FIN_WAIT 2: 等 待 对 方 的 连接 释放 请 求 。 

LAST_ACK: 等 待 对 方 的 连接 释放 应 答 。 

LISTEN: 正在 监听 端口 。 

SYN_RECEIVED: 收 到 对 方 的 连接 建立 请 求 。 

SYN_SEND: 已 主动 发 出 连接 建立 请 求 。 

TIMED_WAIT: 等 待 一 段 时 间 后 将 释放 连接 。 

举例 如 下 。 

(1) 如 果 要 显示 以 太 网 的 统计 信息 和 所 有 协议 的 统计 信息 ， 则 输入 : 


VvVvYVvVYvYvvyvyvyvyv 


netstat -e -s 


(2) 如 果 要 显示 TCP 和 UDP 协议 的 统计 信息 ， 则 输入 
netstat -s -p tcp udp 
(3) 如 果 要 显示 TCP 连接 及 其 对 应 的 进程 ID， 每 4s 显示 一 次 ， 则 输入 : 


nbtstat -o 4 


(4) 如 果 要 以 数字 形式 显 其 对 应 的 进程 DD， 则 输入 : 


nbtstat -n -0 


-次 ， 直 到 输入 Ctrl+C 结 


图 11-43 是 命令 netstat -o 4 显示 的 统计 信息 ， 每 4s 显示 


C:\Documents and Settings\Adninistratormnetstat -o 


Active Connections 


Foreign hddre 
121.11.159.288: 


Proto Local fAddm Foreign hddre State 
ICP x4e 7 121.11.15， SYN_SENT 


Active Co 


Proto Loca ~ Foreign hd 


121.11.159. 


3896 


图 11-43 命令 netstat -o 4 显示 的 统计 信息 


11.7.5 tracert 


tracert 命令 的 功能 是 确定 到 达 目 标的 路 径 ， 并 显示 通路 上 每 一 个 中 间 路 由 器 的 卫 地 址 。 通 
过 多 次 向 目标 发 送 ICMP 回声 (echo) 请 求 拆 文 ， 每 次 增加 人 P 头 中 TIL 字段 的 值 ， 就 可 以 确 
定 到 达 各 个 路 由 器 的 时 间 。 显 示 的 地 址 是 路 由 器 接近 源 这 一 边 的 端口 地 址 。tracert 命令 的 语 
如 下 : 


ERA 
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tracert [-d] [-h MaximaumHops] [-] HostList| [-w Timeout] [TargetName] 


对 以 上 参数 解释 如 下 。 

. -d 

不 进行 名 字 解 析 ， 显 示 中 间 节 点 的 下 地址 ， 这 样 可 以 加 快 跟踪 的 速度 。 

。° -hMaximumHops 

说 明 地 址 搜索 的 最 大 跃 点 数 ， 默 认 值 是 30 跳 。 

® -HostList 

说 明 发 送 回声 请 求 报 文 要 使 用 人 P 头 中 的 松散 源 路 由 选项 ， 标 识 符 HostList 列 出 必须 经 过 
的 中 间 节 点 的 地 址 或 名 字 ， 最 多 可 以 列 出 9 个 中 间 节 点 ， 各 个 中 间 节 点 用 空格 隔 开 。 

® -wTimeout 

说 明了 等 待 ICMP 回声 响应 报 文 的 时 间 (hs)， 如 果 接 收 超时 ， 则 显示 星 号 “*”， 默认 起 
时 间隔 是 4s。 

e TargetName 

用 了 正 地 址 或 主机 名 表示 的 目标 。 

这 个 诊断 工具 通过 多 次 发 送 ICMP 回声 请 求 报 文 来 确定 到 达 目 标的 路 径 ,每 个 报 文 中 TTL 
字段 的 值 都 是 不 同 的 。 通 路 上 的 路 由 器 在 转发 人 P 数据 报 之 前 先 要 将 TTL 字段 减 1， 如 果 TIL 
为 0， 则 路 由 器 就 向 源 端 返回 一 个 超时 〈Time Exceeded) 报 文 ， 并 丢弃 原来 要 转发 的 报 文 。 在 
tracert 第 一 次 发 送 的 回声 请 求 报 文中 置 TTL=1， 然 后 每 次 加 1， 这 样 就 能 收 到 沿途 各 个 路 由 器 
返回 的 超时 报 文 , 直至 收 到 目标 返回 的 ICMP 回声 响应 报 文 。 如 果 有 的 路 由 器 不 返回 超时 报 文 ， 
那么 这 个 路 由 器 就 是 不 可 见 的 ， 显 示 列 表 中 用 星 号 “*” 表 示 。 

举例 如 下 。 

(1) 如 果 要 跟踪 到 达 主 机 corp7.microsoft.com 的 路 径 ， 则 输入 : 


tracert corp7.microsoft.com 


(2) 如 果 要 跟踪 到 达 主 机 corp7.microsoft.com 的 路 径 ， 并 且 不 进行 名 字 解 析 ， 只 显示 中 间 
节点 的 下 地址 ， 则 输入 : 


tracert -d corp7.microsoft.com 
(3) 如 果 要 跟踪 到 达 主 机 corp7.microsoft.com 的 路 径 ， 并 使 用 松散 源 路 由 ， 则 输入 : 
tracert -] 10.12.0.1 10.29.3.1 10.1.44.1 corp7.microsoft.com 


如 图 11-44 所 示 为 利用 命令 tracert www.163.com.cn 显 示 的 路 由 跟踪 列表 。 
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和 :Documents and Settings\hdministrator>tracert www.163.con.cn 


s.it-comn.net [128.168.29-254] 


Trace conplete 


图 11-44 ”tracert 的 显示 结果 


11.7.6 pathping 


pathping 结合 了 ping 和 tracert 两 个 命令 的 功能 , 可 以 显示 通信 线路 上 每 个 子 网 的 延迟 和 丢 


包 率 。pathping 在 一 段 时 间 内 向 通路 中 的 各 个 路 由 器 发 送 多 个 回声 请 求 报 文 ， 然 后 根据 每 个 路 
由 器 返回 的 数据 包 计算 统计 结果 。 由 于 pathping 命令 显示 了 每 个 路 由 器 (或 链 路 ) 丢失 数据 包 
的 程度 ， 所 以 用 户 可 以 据 此 确定 哪些 路 由 器 或 者 子 网 存在 通信 问题 。pathping 命令 的 语法 如 下 : 

pathping [-n] [-h MaximumHops] [-g HostList] [-p Period] [-q NumQueries [-w Timeout] [-T] [-R] 

[TargetName] 

对 以 上 参数 解释 如 下 。 

。 -nh 

不 进行 名 字 解 析 ， 以 加 快 显示 速度 。 

®。  -hMaximumHops 

说 明了 搜索 目标 期 间 的 最 大 跃 点 数 ， 默 认 是 30。 

e -gHostList 

在 发 送 回 声 请 求 报 文 时 使 用 松散 源 路 由 ， 标 识 符 HostList 列 出 了 中 间 节 点 的 名 字 或 地 址 。 
最 多 可 以 列 出 9 个 中 间 节 点 ， 用 空格 分 开 。 

e -pPeriod 

说 明 两 次 ping 之 间 的 时 间 间 隔 (ms)， 默 认为 1/4s。 

e -qdNumOueries 


说 明 发 送 给 每 个 路 由 器 的 回声 请 求 报 文 的 数量 ， 默 认为 100 个 。 


四 :7 医 
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® -Ww Timeout 

说 明 每 次 等 待 回 声响 应 的 时 间 ， 默 认 是 3s。 

。 -TT 

对 发 送 的 回声 请 求 数据 包 附加 上 第 二 层 优先 标志 〈 例 如 802.1p)。 这 样 可 以 测试 出 不 具备 
区 分 第 二 层 优先 级 能 力 的 设备 ， 这 个 开关 用 于 测试 网 络 连接 提供 不 同 服务 质量 的 能 力 。 


。 -R 

确定 通路 上 的 设备 是 否 支持 资源 预约 协议 (RSVP)， 这 个 开关 用 于 测试 网 络 连接 提供 不 同 
服务 质量 的 能 力 。 

® TargetName 

用 下 地 址 或 名 字 表 示 的 目标 。 


pathping 命令 的 参数 是 大 小 写 敏感 的 ， 所 以 T 和 RR 必须 大 写 。 为 了 防止 网 络 拥塞 ，ping 的 
频率 不 能 太 快 ， 这 样 也 可 以 防止 突 发 性 地 丢 包 。 

当 使 用 -p Period 参数 时 ， 对 每 一 个 中 间 节 点 一 次 只 发 送 一 个 回声 请 求 包 ， 对 同一 个 节点 ， 
两 次 ping 之 间 的 时 间 间 隔 是 PeriodX 跃 点 数 。 

当 使 用 -w Timeout 参数 时 ， 多 个 回声 请 求 包 并 行 地 发 出 ， 因 此 标识 符 Timeout 规定 的 时 间 
并 不 受 由 Period 规定 的 时 间 限 制 。 

IEEE 802.1p 标准 使 得 局 域 网 交换 机 具有 以 优先 级 区 分 信息 流 的 能 力 ， 向 支持 声音 、 图 像 
和 数据 的 综合 业务 方面 迈进 了 一 步 。802.1p 定义 了 8 种 不 同 的 优先 级 ， 分 别 用 于 支持 时 间 关 键 
的 通信 (例如 RIP 和 OSPF 的 路 由 更 新 报 文 )， 延 迟 敏感 的 应 用 〈 例 如 交互 式 语音 和 视频 )， 可 
控 负 载 的 多 媒体 流 ， 重 要 的 SAP 数据 以 及 尽力 而 为 (best-effort〉 的 通信 等 。 符 合 802.1p 规范 
的 交换 机 具有 多 队列 缓冲 硬件 ， 可 以 对 较 高 优先 级 的 分 组 进行 快速 处 理 ， 使 得 这 些 分 组 能 够 越 
过 低级 别 分 组 而 迅速 通过 交换 机 。 

在 传统 的 单一 缓冲 区 交换 机 中 ， 当 信息 传输 出 现 拥塞 时 ， 所 有 分 组 将 平等 地 排队 等 待 , 直 
到 可 继续 前 进 。 由 于 传统 设备 不 能 识别 第 二 层 优先 级 标签 ， 那 些 带 有 优先 标签 的 分 组 就 会 被 丢 
弃 ， 所 以 应 用 开关 了 可 以 区 分 传统 交换 机 与 可 提供 第 二 层 优先 级 的 交换 机 。 

R 参数 用 于 对 资源 预约 协议 的 测试 。RSVP 预约 报 文 在 会 话 开始 之 前 首先 发 送 给 通路 上 的 
每 一 个 设备 。 如 果 设 备 不 支持 RSVP， 它 返回 一 个 ICMP “目标 不 可 到 达 ” 报 文 ; 如 果 设 备 支持 
RSVP， 它 返回 一 个 “预约 错误 信息 ” 报 文 。 有 一 些 设备 什么 信息 也 不 返回 ， 如 果 这 种 情况 出 
现 ， 则 显示 超时 信息 。 

图 11-45 的 例子 显示 了 命令 C:>pathping -n corpl 的 输出 。pathping 运行 时 产生 的 第 一 个 结 
果 就 是 路 径 列 表 ， 与 tracert 命令 显示 的 结果 相同 。 接 着 出 现 一 个 大 约 125s 的 “ 忙 ”消息 ,， 忙 时 
间 的 长 短 随 着 跃 点 数 的 多 少 有 所 变化 。 在 这 期 间 ， 从 上 述 列表 中 的 路 由 器 以 及 它们 之 间 的 链 路 


收集 统计 信息 ， 最 后 显示 测试 结果 。 


0 
3 
3 
4 
5 


Hop 
0 
E 


2 


5 


在 图 11-45 所 示 的 样本 报告 中 ,Node/Link、Lost/Sent=Pct 和 Address 栏 显示 :在 172.16.87.218 
与 192.168.52.1 之 间 的 链 路 上 丢 包 率 是 13%。 第 二 跳 和 第 四 跳 的 路 由 器 也 丢失 了 数据 包 ， 但 是 
对 于 它们 转发 的 通信 量 不 会 产生 影响 。 在 图 中 的 地 址 栏 (Address) 中 ， 以 直 杠 “|” 标 识 由 于 


172.16.87.35 


172.16.87.218 


192-168-52-1 
192.168.80.1 
10.54.247.14 
10.54.1.196 


RTT 


24ms 


Source to Here 


Trace complete. 


Tracing route to CorpT [10.54-1.196] 
over a maximum of 30 hops: 


Computing statistics for 125 seconds... 
This Node/Link 
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Lost/Sent = Pct Lost/Sent = Pct Address 
172.16.87:35 

0/ 100 = 0% 1 

0/ 100 = os 0/ 100 = 0% 172.16.87.218 
13/ 100 = 13% | 

16/ 100 = 16% 3/ 100 = 3% 192.168.52.1 
0/ 100= 0% 1 

13/ 100 = 13% 0/ 100 = 0% 192.168.80.1 
0/ 100= 0% 1 

14/ 100 = 14% 1/ 100 = 1% 10.54.247.14 
0/ 100= o 1 

13/ 100 = 13% 0/ 100 = 0% 10.54.1.196 

图 11-45 命令 pathping 的 显示 结果 


链 路 拥塞 而 产生 的 丢 包 ， 至 于 路 由 器 丢 包 的 原因 ， 则 可 能 是 设备 过 载 了 。 


11.7.7 nbtstat 


这 个 命令 显示 NetBT (NetBIOS over TCP/IP) 协议 的 统计 信息 ， 包 括 本 地 计算 机 和 远程 计 


算 机 的 NetBIOS 名 字 表 ， 以 及 NetBIOS 名 字 缓 存 。nbtstat 也 可 以 刷新 NetBIOS 名 字 缓 存 ， 
新 已 经 注册 了 的 WINS 名 字 。nbtstat 命令 的 语法 如 下 。 


nbtstat [-a RemoteName] [-A IP4ddress] [-c] [-n] [-r] [-R] [-RR] [-s] [-S] [Interval] 


对 以 上 参数 解释 如 下 。 
。 -aRemoteName 


显示 远程 计算 机 的 NetBIOS 名 字 表 ， 用 标识 符 RemoteName 指示 远程 计算 机 的 名 字 。 


e -AIPAddress 


显示 远程 计算 机 的 NetBIOS 名 字 表 ， 用 标识 符 IPAddress 指示 远程 计算 机 的 人 P 地 址 。 


so 
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四 -C 

显示 NetBIOS 名 字 缓 存 的 内 容 。 

和 -了 

显示 本 地 计算 机 的 NetBIOS 名 字 表 。 

. be 

显示 NetBIOS 名 字 解 析 的 统计 数据 。 在 配置 了 WINS 的 Windows XP 计算 机 上 ， 这 个 参数 
返回 通过 广播 解析 的 名 字 ， 以 及 通过 WINS 服务 器 解析 的 名 字 。 


。 -R 

清除 NetBIOS 名 字 缓 存 ， 并 从 Lmhosts 文件 装载 带 有 标签 部 RE 的 预 加 载 项 目 。 
。 -RR 

释放 并 刷新 本 地 计算 机 在 WINS 服务 器 中 注册 的 名 字 。 

. = 

显示 NetBIOS 客户 端 与 服务 器 的 会 话 ， 并 把 目标 瑟 地 址 转换 为 名 字 。 

® -S 

显示 NetBIOS 客户 端 与 服务 器 的 会 话 ， 用 卫 地 址 表示 远程 计算 机 。 

e Interval 


多 次 显示 统计 数据 ， 显 示 的 间隔 时 间 由 标识 符 Interval ( 秒 ) 表示 ， 直 至 输入 CtrltC 停止 
显示 。 如 果 这 个 参数 缺失 ， 只 显示 一 次 。 

nbtstat 命令 行 参数 是 大 小 写 敏感 的 ， 所 以 -A，-R，-RR 和 -S 等 必须 大 写 。 

表 11-8 表示 nbtstat 命令 显示 的 列表 栏目 的 含义 。 表 11-9 说 明了 NetBIOS 连接 的 状态 。 


表 11-8 nbtstat 列表 栏目 的 含义 


栏 目 解 释 
Input 接收 的 字 节 数 
Output 发 送 的 字 节 数 
In/Out 连接 是 入 径 (inbound) 或 出 径 (outbound) 
Life 名 字 缓 存 表 项 的 剩余 生命 期 
Local Name NetBIOS 连接 的 本 地 名 字 
Remote Host 远程 计算 机 的 名 字 或 地 址 
Type 名 字 的 类 型 ， 可 以 是 唯一 名 字 (unique) 或 组 名 字 (group) 
Status 已 注册 (Registered)， 冲 突 (Conflict) 
State NetBIOS 连接 的 状态 
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表 11-9 NetBIOS 连接 的 状态 


状 态 解 释 

Connected 会 话 已 经 建立 

Associated 连接 端点 已 经 产生 ， 并 分 配 了 一 个 人 P 地 址 

Listening 端点 正在 等 待 入 径 连 接 

Idle 端点 已 经 打开 ， 但 不 能 解释 连接 

Connecting 会 话 处 于 建立 阶段 ， 正 在 解析 目标 的 名 人 

Accepting 正在 解释 一 个 入 径 会 话 ， 连 接 很 

Reconnecting 

Outbound 本 正在 建立 连接 阶段 ，TCP 连接 已 经 生成 

Inbound 一 个 入 径 会 话 处 于 建立 连接 阶段 

Disconnecting 会 话 正在 断 开 阶段 

Disconnected 本 地 计算 机 发 出 了 释放 连接 请 求 ， 正 在 等 待 远 端 系统 的 应 答 
举例 如 下 。 
(1) 如 果 要 显示 远 端 计算 机 CORP07 的 NetBIOS 名 字 表 ， 则 输入 : 


nbtstat -a CORP07 

(2) 如 果 要 显示 地 址 为 10.0.0.99 的 远 端 计 算 机 的 NetBIOS 名 字 表 ， 则 输入 : 

nbtstat -A 10.0.0.99 

(3) 如 果 要 显示 本 地 计算 机 的 NetBIOS 名 字 表 ， 则 输入 : 

nbtstat -n 

(4) 如 果 要 显示 本 地 计算 机 NetBIOS 名 字 缓 存 的 内 容 ， 则 输入 : 

nbtstat -c 

(5) 如 果 要 清除 NetBIOS 名 字 缓 存 ， 并 从 本 地 Lmhosts 文件 重 装 预 加 载 项 目 ， 则 输入 : 


nbtstat -R 


(6) 如 果 要 释放 本 地 计算 机 在 WINS 服务 器 中 注册 的 NetBIOS 名 字 并 重新 注册 ， 则 输入 : 


nbtstat -RR 


(7) 如 果 要 显示 NetBIOS 会 话 统 计数 据 ， 每 5s 显示 一 次 ， 则 输入 : 


oo 


co 


网 络 工程 师 教程 (第 5 版 ) 
nbtstat -S5 


11.7.8 route 


这 个 命令 的 功能 是 显示 和 修改 本 地 的 IP 路 由 表 ， 如 果 不 带 参数 ， 则 给 出 帮助 信息 。route 
命令 的 语法 如 下 。 


route [-f] [-p] [Command [Destination] [mask Netmask] [Gateway] [metric Metric]] [if Interface]] 


对 以 上 参数 解释 如 下 。 

。 f 

删除 路 由 表 中 的 网 络 路 由 《〈 子 网 掩 码 不 是 255.255.255.255)、 本 地 环 路 路 由 (目标 地 址 为 
127.0.0.0， 子 网 掩 码 为 255.0.0.0) 和 组 播 路 由 (目标 地 址 为 224.0.0.0， 子 网 掩 码 为 240.0.0.0)。 
如 果 与 其 他 命令 (例如 add、change 或 delete) 联合 使 用 ， 在 运行 这 个 命令 前 先 清除 路 由 表 。 

二 

与 add 命令 联合 使 用 时 ， 一 条 路 由 被 添加 到 注册 表 中 ， 当 TCP/IP 协议 启动 时 ， 用 于 初始 
化 路 由 表 。 在 默认 情况 下 ， 系 统 重新 启动 时 不 保留 添加 的 路 由 。 与 print 命令 联合 使 用 时 ， 则 显 
示 持 久 路 由 列表 。 对 于 其 他 命令 , 这 个 参数 被 忽略 持久 路 由 保存 在 注册 表 中 的 HKREY LOCAL 
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \PersistentRoutes 位 置 。 


® Command 


表示 要 运行 的 命令 ， 可 用 的 命令 如 表 11-10 所 示 。 
表 11-10 可 用 的 命令 


命令 用 泛 
add 删除 路 由 
change 修改 已 有 的 路 由 | pt | 打印 路 由 


e Destination 

说 明 目 标 地 址 ， 可 以 是 网 络 地 址 (IP 地 址 中 对 应 主机 的 位 都 是 0)、 主 机 地 址 或 默认 路 由 
(0.0.0.0)。 

e maskNetmask 

说 明了 目标 地 址 对 应 的 子 网 掩 码 。 网 络 地 址 的 子 网 掩 码 依据 网 络 的 大 小 而 变化 ， 主 机 地 址 
的 子 网 掩 码 为 255.255.255.255， 默 认 路 由 的 子 网 掩 码 为 0.0.0.0。 如 果 忽 略 了 这 个 参数 ， 默 认 的 
子 网 掩 码 为 255.255.255.255。 由 于 在 路 由 寻 址 中 具有 关键 作用 ， 所 以 目标 地 址 不 能 特异 于 对 应 
的 子 网 掩 码 。 换 而 言 之 ， 如 果子 网 掩 码 的 某 位 是 0， 则 目标 地 址 的 对 应 位 不 能 为 1。 
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® Gateway 

说 明 下 一 跃 点 的 P 地 址 。 对 于 本 地 连接 的 子 网 ， 网 关 地 址 是 本 地 子 网 中 分 配给 接口 的 中 
地 址 。 对 于 远程 路 由 ， 网 关 地 址 是 相 邻 路 由 器 中 直接 连接 的 卫 地 址 。 

e metric Metric 

说 明 路 由 度量 值 (1 一 9999)。 通 常 选择 度量 值 最 小 的 路 由 。 度 量 值 可 以 根据 跃 点 数 、 链 路 
速率 通路 可 靠 性 、 通 路 的 吞吐 率 以 及 管理 属性 等 参数 确定 。 

e 1flInterface 

说 明 接口 的 索引 。 使 用 route print 命令 可 以 显示 接口 索引 列表 。 接 口 索引 可 以 使 用 十 进 制 
数 或 十 六 进 制 数 表 示 。 如 果 忽略 站 参数 ， 接 口 索 引 根 据 网 关 地 址 确定 。 

路 由 表 中 可 能 出 现 很 大 的 度量 值 ， 这 是 TCP/IP 协议 根据 LAN 接口 配置 的 卫 地址、 子 网 
扒 码 和 默认 网 关 等 参数 自动 计算 的 度量 值 。 自 动 计算 接 
口 度量 值 是 默认 的 , 就 是 根据 接口 的 速率 调整 路 由 度量 ， 
所 以 最 快 的 接口 生成 了 最 低 的 度量 值 。 如 果 要 消除 大 的 
度量 值 ， 则 要 用 “高 级 TCP/IP 设置 ”对 话 框 来 取消 “ 自 
动 跃 点 计数 ” 复 选 框 ， 如 图 11-46 所 示 。 

可 以 用 名 字 表 示 路 由 目标 ， 如 果 在 %Systemroot% 
\System32\Dtivers\Etc\hosts 或 Lmhosts 文件 中 存在 相应 表 
项 ， 也 可 以 用 名 字 表 示 网 关 ， 只 要 这 个 名 字 可 以 通过 标 
准 方法 解析 为 耳 地 址 。 

在 使 用 命令 print 或 delete 时 可 以 忽略 参数 Gateway， 
使 用 通配符 来 代替 目标 和 网 关 。 目标 可 以 用 一 个 星 号 “*” 
来 代替 。 如 果 目 标的 值 中 包含 星 号 “*” 或 问号 “? ”， 二 
也 被 看 作 是 通配符 ， 用 于 匹配 被 打印 或 被 删除 的 目标 路 。 图 1-46 高 级 TCPP 设置 
由 。 事实 上 , 星 号 可 以 匹配 任何 字符 串 , 问号 则 用 于 匹配 任何 单个 字符 。 例 如 ,10.*.1、192.168.* 
和 *224* 都 是 合法 的 通配符 。 

如 果 使 用 了 目标 地 址 与 子 网 掩 码 的 无 效 组 合 ， 则 会 显示 “Route: bad gateway address 
netmask” 的 错误 信息 。 当 目标 地 址 中 的 一 个 或 多 个 位 被 设置 为 “1”， 而 子 网 掩 码 的 对 应 位 却 被 
设置 为 “0” 时 ， 就 会 出 现 这 种 错误 。 为 了 检查 这 种 错误 ， 可 以 把 目标 地 址 和 子 网 掩 码 都 用 二 
进 制 表 示 。 在 子 网 掩 码 的 二 进 制 表示 中 ,开头 有 一 串 “1”， 代 表 网 络 地 址 部 分 ， 后 跟 一 串 “0”， 
代表 主机 地 址 部 分 。 这 样 就 可 以 确定 ， 目 标 地址 中 属于 主机 的 位 是 否 被 设置 成 了 “1”。 

-了 参数 只 能 在 Windows NT 4.0、Windows 2000/2003 和 Windows XP 中 使 用 ，Windows 9x 
不 支持 这 个 参数 。 

举例 如 下 。 
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(1) 如 果 要 显示 整个 路 由 器 的 内 容 ， 则 输入 : 

Toute print 

(2) 如 果 要 显示 路 由 表 中 以 10. 开 头 的 表 项 ， 则 输入 : 

route print 10.* 

(3) 如 果 对 网 关 地 址 192.168.12.1 要 添加 一 条 默认 路 由 ， 则 输入 : 
route add 0.0.0.0 mask 0.0.0.0 192.168.12.1 


(4) 如 果 要 添加 一 条 到 达 目 标 10.41.0.0〈 子 网 掩 码 为 255.255.0.0) 的 路 由 ， 下 一 跃 点 地 址 
为 10.27.0.1， 则 输入 : 


Toute add 10.41.0.0 mask 255.255.0.0 10.27.0.1 


(5) 如 果 要 添加 一 条 到 达 目 标 10.41.0.0 〈 子 网 掩 码 为 255.255.0.0) 的 持久 路 由 ， 下 一 跃 点 
地 址 为 10.27.0.1， 则 输入 : 


route -p add 10.41.0.0 mask 255.255.0.0 10.27.0.1 


(6) 如 果 要 添加 一 条 到 达 目 标 10.41.0.0 255.255.0.0 的 路 由 ， 下 一 跃 点 地 址 为 10.27.0.1， 度 
量 值 为 7， 则 输入 : 


route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 metric 7 


(7) 如 果 要 添加 一 条 到 达 目 标 10.41.0.0 255.255.0.0 的 路 由 ， 下 一 跃 点 地 址 为 10.27.0.1, 接 
口 索引 为 0k3， 则 输入 : 


route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 让 0x3 

(8) 如 果 要 删除 到 达 目 标 10.41.0.0 255.255.0.0 的 路 由 ， 则 输入 : 
route delete 10.41.0.0 mask 255.255.0.0 

(9) 如 果 要 删除 路 由 表 中 所 有 以 10. 开 头 的 表 项 ， 则 输入 : 

route delete 10.* 


(10) 如 果 要 把 目标 10.41.0.0 255.255.0.0 的 下 一 跃 点 地 址 由 10.27.0.1 改 为 10.27.0.25， 则 
输入 : 


route change 10.41.0.0 mask 255.255.0.0 10.27.0.25 
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11.7.9 netsh 


netsh 是 一 个 命令 行 脚本 实用 程序 ， 可 用 于 修改 计算 机 的 网 络 配 置 。 利 用 netsh 也 可 以 建立 
批文 件 来 运行 一 组 命令 ,或 者 把 当前 的 配置 脚本 用 文本 文件 保存 起 来 ， 以 后 可 用 来 配置 其 他 的 
服务 器 。 


1. netsh 上 下 文 


netsh 利用 动态 链接 库 (DLL) 与 操作 系统 的 其 他 组 件 交 互 作用 。netsh 助手 (helper) 是 一 
种 动态 链接 库 文 件 ， 提 供 了 称 为 上 下 文 〈context) 的 扩展 特性 ， 这 是 一 组 可 作用 于 某 种 网 络 组 
件 的 命令 。netsh 上 下 文 扩大 了 它 的 作用 ， 可 以 对 多 种 服务 、 实 用 程序 或 协议 提供 配置 和 监控 功 
能 。 例 如 ，Dhcpmon.dll 就 是 一 种 netsh 助手 文件 ， 它 提供 了 一 组 配置 和 管理 DHCP 服务 器 的 
命令 。 

运行 netsh 命令 要 从 Cmd.exe 提示 符 开始 ， 然 后 转 到 指定 的 上 下 文 。 可 使 用 的 上 下 文 取决 
于 已 经 安装 的 网 络 组 件 。 例 如 ， 在 netsh 命令 提示 符 (netsh>) 下 输入 dhep， 就 会 转 到 DHCP 
上 下 文 。 但 是 如 果 没 有 安装 DHCP 服务 ， 则 会 出 现下 面 的 信息 : 


The following command was not found: dhcp. 


2. 使 用 多 个 上 下 文 


从 一 个 上 下 文 可 以 转 到 另 一 个 上 下 文 ， 后 者 叫 作 子 上 下 文 。 例 如 ， 在 路 由 上 下 文中 可 以 转 
到 人 P 或 IPX 上下文 。 

为 了 显示 在 某 个 上 下 文中 可 使 用 的 子 上 下 文 和 命令 列表 ， 可 以 在 netsh 提示 符 下 输入 上 下 
文 的 名 字 ， 后 跟 “? ”或 help。 例 如 ， 为 了 显示 在 路 由 上 下 文中 可 使 用 的 子 上 下 文 和 命令 ， 在 
netsh 提示 符 下 输入 : 

netsh>routing ? 

或 者 

netsh>routing help 

为 了 不 改变 当前 上 下 文 而 完成 另外 一 个 上 下 文中 的 任务 ， 可 以 在 netsh 提示 符 下 输入 命令 
的 上 下 文 路 径 。 例 如 ， 要 在 IGMP 上 下 文中 添加 “本 地 连接 ”接口 而 不 改变 到 IGMP 上 下 文 ， 
则 输入 : 


netsh>routing ip igmp add interface "Local Area Connection" startupqueryinterval=21 
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3. 在 cmd.exe 命令 提示 符 下 运行 netsh 命令 


为 了 在 远程 Windows Server 2003 中 运行 netsh 命令 ， 首 先 要 通过 “远程 桌面 连接 ”连接 到 
正在 运行 终端 服务 器 的 Windows Server 2003 系统 中 。 在 cmd.exe 命令 提示 符 下 输入 netsh， 就 
进入 了 netsh> 提示 符 。netsh 的 语法 如 下 : 


netsh [-a AliasFile] [-c Context| [-r RemoteComputer] [{NetshCommandl-f ScriptFile}] 


对 以 上 参数 解释 如 下 : 

e -aAliasFile 

运行 AliasFile 文件 后 返回 netsh 提示 符 。 
® -CContext 


转 到 指定 的 netsh 上 下 文 ， 可 用 的 上 下 文 如 表 11-11 所 示 。 


表 11-11 netsh 上 下文 
灶 - 六 解 释 
配置 认证 ,授权 、 计 费 和 审计 (Authentication, Authorization, Accounting, Auditing, AAAA) 
数据 库 ， 该 数据 库 是 Internet 认证 服务 器 和 路 由 及 远程 访问 服务 器 要 使 用 的 
DHCP 管理 DHCP 服务 器 
Diag 操作 系统 和 网 络 服务 的 管理 及 故障 诊断 
Interface | 配置 TCP/IP 协议 ， 显 示 配 置 和 统计 信息 
RAS 管理 远程 访问 服务 器 
Routing 管理 路 由 服务 器 
WINS 管理 WINS 服务 器 


AAAA 


® -rRemoteComputer 

配置 远程 计算 机 。 

e NetshCommand 

说 明 要 使 用 的 netsh 命令 。 

® -fScriptFile 

运行 脚本 后 转 出 netsh.exe。 

关于 < 参数 的 使 用 值得 用 户 注意 。 如 果 在 -r 参数 中 使 用 了 另外 的 命令 ， 则 netsh 在 远程 计 
算 机 上 执行 这 个 命令 ， 然 后 返回 到 cmd.exe 命令 提示 符 下 。 如 果 使 用 -r 参数 而 没有 使 用 其 他 命 
令 ， 则 netsh 保持 在 远程 模式 。 这 个 过 程 类 似 于 在 netsh 命令 提示 符 下 执行 set machine 命令 。 
在 使 用 -r 参数 时 ， 只 是 在 当前 的 netsh 实例 中 配置 目标 机 器 。 在 转 出 并 重新 进入 netsh 后 ， 目 标 
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机 器 又 变 成 了 本 地 计算 机 。 远 程 计算 机 的 名 字 可 以 是 存储 在 WINS 服务 器 上 的 名 字 、UNC 
(Universal Naming Convention) 名 字 ， 也 可 以 被 DNS 服务 器 解析 的 Internet 名 字 或 者 卫 地 址 。 


4. 在 netsh.exe 提示 符 下 运行 Netsh 命令 


在 netsh> 提 示 符 下 可 以 使 用 下 面 一 些 命令 。 

。 .. : 转移 到 上 一 层 上 下 文 。 

。 abort: 放弃 在 脱 机 模式 下 所 做 的 修改 。 

。 addhelper DLLName: 在 netsh 中 安装 netsh 助手 文件 DLLName。 

。 alias [4liasName]: 显示 指定 的 别名 。 

alias [4liasName][string7 [string2…]]: 设置 AliasName 的 别名 为 指定 的 字符 串 。 

可 以 使 用 别名 命令 行 替换 netsh 命令 ,或 者 将 其 他 平台 中 更 熟悉 的 命令 映射 到 适当 的 netsh 
命令 。 下 面 是 使 用 alias 的 例子 ， 这 个 脚本 设置 了 两 个 别名 shaddr 和 shp， 并 进入 netsh interface 
Pp 上 下 文 ; 


alias shaddr show interface ip addr 
alias shp show helpers 


interface ip 


如 果 在 netsh 命令 提示 符 下 输入 shaddr, 则 被 解释 为 命令 show interface ip addr; 如 果 在 netsh 
命令 提示 符 下 输入 shp， 则 被 解释 为 命令 show helpers。 
。 bye: 转 出 netsh。 
。 ”commit: 向 路 由 器 提交 在 脱 机 模式 下 所 做 的 改变 。 
。 ”delete helper DLLName: 删除 netsh 助手 文件 DLLName。 
。 ”dump [FileName]: 生成 一 个 包含 当前 配置 的 脚本 。 如 果 要 把 脚本 保存 在 文件 中 ， 则 使 
用 参数 FileName。 如 果 不 带 参数 ， 则 显示 当前 配置 脚本 。 
。 ”exec ScriptFile: 装载 并 运行 脚本 文件 ScriptFile。 脚 本 文件 运行 在 一 个 或 多 个 计算 
机 上 。 
eexit: 从 netsh 转 出 。 
。 help: 显示 帮助 信息 ， 可 以 用 2、? 或 h 代替 。 
e。 offline: 设置 为 脱 机 模式 。 
。 online: 设置 为 联机 模式 。 
在 脱 机 模式 下 做 出 的 配置 可 以 保存 起 来 ， 通 过 运行 commit 命令 或 联机 命令 在 路 由 器 上 执 
行 。 从 脱 机 模式 转 到 联机 模式 时 ， 在 脱 机 模式 下 做 出 的 改变 会 反映 到 当前 正在 运行 的 配置 中 ， 
而 在 联机 模式 下 做 出 的 改变 会 立即 反映 到 当前 正在 运行 的 配置 中 。 
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。 popd: 从 堆栈 中 恢复 上 下 文 。 

。 pushd: 把 当前 的 上 下 文保 存在 堆栈 中 。 

popd 与 pushd 配合 使 用 , 可 以 改变 到 新 的 上 下 文 , 运行 新 的 命令 , 然后 恢复 前 面 的 上 下 文 。 
下 面 是 使 用 这 两 个 命令 的 例子 。 这 个 脚本 首先 从 根 脚 本 转 到 interface ip 上 下 文 ， 添 加 一 个 静态 
路 由 ， 然 后 返回 根 上 下 文 。 


netsh> 
pushd 
netsh> 
interface ip 
netsh interface ip> 
set address local static 10.0.0.9 255.0.0.0 10.0.0.1 1 
netsh interface ip> 
popd 
netsh> 
。 quit: 转 出 netsh。 
eset file {open FileNamelappend FileName| close}: 复制 命令 提示 符 窗口 的 输出 到 指定 的 
文件 。 其 中 的 参数 如 下 。 
> open FileName: 打开 文件 FileName， 并 发 送 命令 提示 符 窗口 的 输出 到 这 个 
文件 。 
> ”append FileName: 附加 命令 提示 符 窗口 的 输出 到 指定 的 文件 FileName。 
> ”Close: 停止 发 送 输出 并 关闭 文件 。 
如 果 指 定 的 文件 不 存在 ， 则 netsh 生成 一 个 新 文件 ; 如 果 指 定 的 文件 存在 ， 则 netsh 重 写 文 
件 中 已 有 的 数据 。 下 面 的 命令 生成 一 个 叫 作 session.log 的 记录 文件 ， 并 复制 netsh 的 输入 和 输 
出 到 这 个 文件 : 


set file open c:\session log 


。 set machine [[ComputerName=]string]: 指定 当前 要 完成 配置 任务 的 计算 机 ， 其 中 的 字 
符 串 string 是 远程 计算 机 的 名 字 。 如 果 不 带 参数 ， 则 指 本 地 计算 机 。 

在 一 个 脚本 中 ,可 以 在 多 台 计 算 机 上 执行 命令 。 在 一 个 脚本 中 ， 首先 利 用 set machine 命令 
说 明 一 个 计算 机 ComputerA， 在 这 台 计 算 机 上 运行 随后 的 命令 。 然后 利用 set machine 命令 指定 
另外 一 台 计 算 机 ComputerB， 再 在 这 台 计 算 机 上 运行 命令 。 

。 ”set mode {onlineloffline}: 设置 为 联机 或 脱 机 模式 。 

。 ”show {aliaslhelperlmode}: 显示 别名 、 助 手 或 当前 的 模式 。 

。 ”unalias 4liasName: 删除 指定 的 别名 。 
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11.7.10 nslookup 


nslookup 命令 用 于 显示 DNS 查询 信息 ， 诊 断 和 排除 DNS 故障 。 使 用 这 个 工具 必须 熟悉 
DNS 服务 器 的 工作 原理 (参见 本 书 第 7 章 )。nslookup 有 交互 式 和 非 交互 式 两 种 工作 方式 。 


nslookup 的 语法 如 下 : 
® nslookup [-option ...] # 使 用 默认 服务 器 ， 进 入 交互 方式 
® nslookup [-option ...] -server # 使 用 指定 服务 器 server， 进 入 交互 方式 
enslookup [-option ...] host # 使 用 默认 服务 器 ， 查 询 主机 信息 
。 nslookup [-option .….] host server  ”# 使 用 指定 服务 器 server， 查 询 主机 信息 
。 ?1/7|/help # 显 示 帮 助 信息 
1. 非 交 互 式 工作 


所 谓 非 交互 式 工作 ， 就 是 使 用 一 次 nslookup 命令 后 又 返回 到 cmd.exe 提示 符 下 。 如 果 只 查 
询 一 项 信息 ， 可 以 进入 这 种 工作 方式 。nslookup 命令 后 面 可 以 跟随 一 个 或 多 个 命令 行 选 项 
(option)， 用 于 设置 查询 参数 。 每 个 命令 行 选项 由 一 个 连 字符 “-” 后 跟 选 项 的 名 字 ， 有 时 还 要 
加 一 个 等 号 “=” 和 一 个 数值 。 

在 非 交互 方式 中 ， 第 一 个 参数 是 要 查询 的 计算 机 (host) 的 名 字 或 中 地址， 第 二 个 参数 是 
DNS 服务 器 〈server) 的 名 字 或 瑟 地 址 ， 整 个 命令 行 的 长 度 必须 小 于 256 个 字符 。 如 果 忽 略 了 
第 二 个 参数 ， 则 使 用 默认 的 DNS 服务 器 。 如 果 指 定 的 host 是 中 地址 ， 则 返回 计算 机 的 名 字 ; 
如 果 指定 的 host 是 名 字 ， 并 且 没有 尾随 的 句点 ， 则 默认 的 DNS 域名 被 附加 在 后 面 ( 设 置 了 
defname)， 查 询 结果 给 出 目标 计算 机 的 人 地 址 。 如 果 要 查找 不 在 当前 DNS 域 中 的 计算 机 ， 在 
其 名 字 后 面 要 添加 一 个 句点 “.”( 称 为 尾随 点 )。 下 面 举例 说 明 非 交互 方式 的 用 法 。 

(1) 应 用 默认 的 DNS 服务 器 根据 域名 查找 下 地址。 


Ci:\>nslookup nsl.isiedu 
Server: nsl.domain.com 
Address: 202.30.19.1 


Non-authoritative answer: # 给 出 应 答 的 服务 器 不 是 该 域 的 权威 服务 器 
Name: nsl.isiedu 
Address: 128.9.0.107 # 查 出 的 卫 地址 


(2) 应 用 默认 的 DNS 服务 器 根据 P 地 址 查找 域名 。 


Ci\>nslookup 128.9.0.107 
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Server: ns1.domain.com 
Address: 202.30.19.1 


Name: nsl.isiedu # 查 出 的 耳 地 址 
Address: 128.9.0.107 


(3) nslookup 命令 后 面 可 以 跟随 一 个 或 多 个 命令 行 选 项 (option)。 例 如 ， 要 把 默认 的 查询 
类 型 改 为 主机 信息 ， 把 超时 间隔 改 为 ss， 查询 的 域名 为 nsl.isi.edu， 则 使 用 下 面 的 命令 : 
C:nslookup -type=hinfo -timeout=5 ns]l.isiedu 


Server: nsl.domain.com 
Address: 202.30.19.1 


isiedu # 给 出 了 SOA 记录 
primary name server = isiedu # 主 服务 器 
Tesponsible mail addr = action isi.edu # 邮 件 服务 器 
serial = 2009010800 # 查 询 请 求 的 序列 号 
refresh 。 = 7200 <2 hours> # 出 新 时 间 间 隔 
retry = 1800 <30 mins> # 重 试 时 间 间 隔 
expire = 604800 <7 days> # 辅 助 服务 器 更 新 有 效 期 
default TTL = 86400 <1 days> # 资 源 记录 在 DNS 缓存 中 的 有 效 期 
C:> 
2. 交互 式 工作 


如 果 需 要 查找 多 项 数据 ， 可 以 使 用 nslookup 的 交互 工作 方式 。 在 cmd.exe 提示 符 下 输入 
nslookup 后 按 Enter 键 ， 就 进入 了 交互 工作 方式 ， 命 令 提示 符 变 成 “>”。 

在 命令 提示 符 “>” 下 输入 help 或 ?， 会 显示 可 用 的 命令 列表 〈 如 图 11-47 所 示 ); 如 果 输 
入 exit， 则 返回 cmd.exe 提示 符 。 

在 交互 方式 下 ， 可 以 用 set 命令 设置 选项 ， 满 足 指定 的 查询 需要 。 下 面 举 出 几 个 常用 子 命 
令 的 应 用 实例 。 

(1) >set all: 列 出 当前 设置 的 默认 选项 。 


>set all 
Server: ns1.domain.com 
Address: 202.30.19.1 


Set options: 
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nodebug # 不 打印 排 错 信息 

defname # 对 每 一 个 查询 附加 本 地 域名 

search # 使 用 域名 搜索 列表 

AAR A $1 

MSxfr # 使 用 MS 快速 区 域 传输 

IXFRversion=1 # 当 前 的 IXFR〈 渐 增 式 区 域 传输 ) 版 本 号 
srchlist= # 查 询 搜索 列表 


Commands: (identifiers are shown in uppercase, [] means optional) 
NAME - print info about the host/domain NAME using default server 
NAME1 NAME2 - as above, but use NAME2 as server 
help or ? - print info on common commands 
set OPTION - set an option 
all - print options, current server and host 
[noldebug - print debugging information 
[no]d2 - print exhaustive debugging information 
[noldefname - append domain name to each query 
[nojrecurse - ask for recursive answer to query 
[nojsearch - use domain search list 
[nojvc - always use a Virtual circuit 
domain=NAME - set default domain name to NAME 
srchlist=N1[/N2/.../N6] - set domain to N1 and search list to N1. N2. etc. 
TootFNAME - set root server to NAME 


Tetry=X - set number of retries to X 


timeout=X - set initial time-out interval to X seconds 
type=X - set query type (for example, A, ANY. CNAME. MX. NS. PITR, SOA. SRV) 
querytype=X - same as type 
class=X - set query class (for example. IN (Internet). ANY) 
[nojmsxfr - use MS fast zone transfer 
ixfrver=X - current version to use in IXFR transfer request 
server NAME - set default server to NAME. using current default server 
lserver NAME - set default server to NAME, using initial server 
finger [USER] - finger the optional NAME at the current default host 
Toot - set current default server to the root 
ls [opt] DOMAIN [> FILE] - list addresses in DOMAIN (optional: output to FILE) 
-a - list canonical names and aliases 
-d - list all records 
-t TYPE -list records of the given type (for example, A. CNAME. MX. NS. PTR. and so on) 
view FILE - sort an 'ls' output file and view it with pg 
exit - exit the program 


图 11-47 nslookup 子 命令 
(2) set type=mx: 这 个 命令 查询 本 地 域 的 邮件 交换 器 信息 。 


C: nslookup 
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Default Server: ns1.domain.com 


Address: 202.30.19.1 
> set type=mx 
> 163.com.cn 


Server: ns1.domain.com 


Address: 202.30.19.1 


Non-authoritative answer: 


163.com.cn MX preference = 10, mail exchanger =mx1.163.com.cn 


163.com.cn MX preference = 20, mail exchanger =mx2.163.com.cn 
mx1.163.com.cn internet address = 61.145.126.68 
mx2.163.com.cn internet address = 61.145.126.30 


> 


(3) server NAME: 由 当前 默认 服务 器 切换 到 指定 的 名 字 服 务 器 NAME。 类 似 的 命令 lserver 
是 由 本 地 服务 器 切换 到 指定 的 名 字 服 务 器 。 


C: nslookup 


Default Server: nsl.domain.com 


Address: 202.30.19.1 
> server 202.30.19.2 


Default Server: ns2.domain.com 


Address: 202.30.19.2 


(4) ls: 这 个 命令 用 于 区 域 传输 ， 罗 列 出 本 地 区 域 中 的 所 有 主机 信息 。ls 命令 的 语法 如 下 。 

ls [- al-d | -ttype] domain [> filename] 

不 带 参数 使 用 ls 命令 将 显示 指定 域 (domain) 中 所 有 主机 的 人 P 地 址 。-a 参数 返回 正式 名 
称 和 别名 ，-d 参数 返回 所 有 数据 资源 记录 ， 而 -t 参数 将 列 出 指定 类 型 (type) 的 资源 记录 。 任 
选 的 flename 是 存储 显示 信息 的 文件 ， 如 图 11-48 所 示 。 

如 果 安 全 设置 禁止 区 域 传输 ， 将 返回 下 面 的 错误 信息 。 

*** Can't list domain example.com : Server failed 

(5) set type: 该 命令 的 作用 是 设置 查询 的 资源 记录 类 型 。DNS 服务 器 中 主要 的 资源 记录 
有 A 域名 到 人 P 地 址 的 映射 )、PTR (IP 地 址 到 域名 的 映射 )、MX 邮件 服务 器 及 其 优先 级 )、 


CNAM (别名 ) 和 NS ( 


区 域 的 授权 服务 器 ) 等 类 型 。 通 过 A 记录 可 以 由 域名 查 地 址 ， 也 可 以 


由 地 址 查 域 名 。 在 图 11-49 中 , 用 set all 命令 显示 默认 设置 ， 可 以 看 出 type=A+AAAA， 这 时 可 
以 进行 正 向 查询 ， 也 可 以 进行 反 向 查询 ， 如 图 11-50 所 示 。 
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> 1s xidian.edu.cn 
[ns1.xidian.edu.cn] 


xidian.edu.cn NS server = ns1.xidian.edu.cn 
xidian.edu.cn. NS server = ns2.xidian.edu.cn 
08net A 262.117.118 .25 
acc A 282.117.121.5 
ai A 262.117.121.146 
antanna A 219.245.119.146 
apueb2k A 262.117.116.19 
bbs A 262.117.112.11 
cce A 216.27.3.35 
cese A 219.245.118.199 
cnc A 216.27.5.123 
cnis A 292.117.112.16 
WWW.cnis A 292.117.112.16 
con A 292.117.112.6 
cpi A 219.245.78.155 
cs A 202.117.112.23 
csti A 282.117.114.31 
Cuc A 216.27.1.33 
cxjh A 262.117.112.27 
Decss6 A 262.117.112.15 
dingzhg A 202.117.117.8 
djzx A 202.117.121.87 
dp A 219.27.12.227 
dtg A 202.117.114.35 
dttrdc A 219.245.79.48 
ecard A 292.117.112.1939 
ecm A 282.117.116.79 
ecr A 282.117.115.9 
ee A 216.27.6.158. 


图 11-48 ls 命令 的 输出 


> seruer 61.134.1.4 # 设 置 默 认 服 务 器 
默认 服务 器 : 【61.134.1.4] 
Address: 61.134.1.4 


> set all 


默认 服务 器 : [61.134.1.4] 
Address: 61.134.1.4 


设置 选项 : 
nodebug 
defname 
search 
recurse 
nod2 
nouc 
noignoretc 


# 查 询 A 记录 和 AAAA 记 录 
lass=IN 可 以 给 出 IPv4 和 IPv6 地 址 
timeout=2 

retry=1 

root=A.ROOT-SERUERS .NET. 

domain= 

MSxfr 

IXFRuersionz=1 

srchlist= 


11-49 set all 显示 默认 设置 
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> wuw.tsinghua.edu.cn ## 由 域名 查 地 址 


服务 器 : [61.134.1.4] 
Address: 61.134.1.4 


非 权威 应 答 : 
称 : wuW.d.tsinghua.edu.cn 
Addresses: 2991:da8:2699:299::4:199 
211.151.91.165 # 得 到 IPv6 和 IPv4 地 址 
hliases: www.tsinghua.edu.cn 
> 211.151.91.165 # 由 地 址 查 域名 


服务 器 : [61.134.1.4] 
Address: 61.134.1.4 


名 称 : 165.tsinghua.edu.cn # 得 到 域名 
hddress: 211.151.91.165 


图 11-50 查询 A 记录 和 AAAA 记录 


当 查 询 PTR 记录 时 ， 可 以 由 地 址 查 到 域名 ， 但 是 没有 从 域名 查 到 地 址 ， 而 是 给 出 了 SOA 
记录 ， 如 图 11-51 所 示 。 


> set type=ptr # 查 询 PTR 记 录 
> 211.151.91.165 # 由 地 址 查 域名 
服务 器 : [61.134.1.4] 
Address: 61.134.1.4 


非 权 威 应 答 : 
165.91.151.211.in-addr .arpa name = 165.tsinghua.edu.cn 。 # 查 询 成 功 ， 得 到 域名 


> wuw.tsinghua.edu.cn ## 由 域名 查 地 址 
服务 器 : 【61.134.1.4] 
Address: 61.134.1.4 


DNS request timed out. 
timeout was 2 seconds. 


非 权威 应 答 : _ 

wu,tsinghua.edu.cn canonical name = WWW.d.tsinghua.edu.cn 

d.tsinghua.edu.cn 
primary name server = dns.d.tsinghua.edu.cn # 没 有 查 出 地 址 
responsible mail addr = szhu.dns.edu.cn 但 给 出 了 SOA 记 录 
serial 2997942815 


refresh = 3600 (1 hour) 
retry =: 1860 (39 mins) 
expire = 6048060 (7 days) 
default TTL : 86460 (1 day) 


图 11-51 查询 PTR 记录 


新 查询 A 记录 ， 可 以 进行 双向 查询 ， 如 图 11-52 所 示 。 
(6) set type=any: 对 查询 的 域名 显示 各 种 可 用 的 信息 资源 记录 (A、CNAME、MX、NS、 
PTR、SOA 和 SRV 等 )， 如 图 11-53 所 示 。 
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# 查 询 A 记录 


> set typeza 


> wu. tsinghua.edu. en # 耻 域名 查 地 直 set typesany 
服务 器 : 【61.134.1.4] > baidu .com 
dd 61.134.1 


服务 器 : [218.38.19.49] 
ddress: 218.36.19.49 


und. teinghua.edu. en 
ha eu -en “作用 的 LE 权威 应 答 : 。 ， 
aidu. con internet addrese = 202.108.23.59 
A 4 由 地 址 查 城 名 aidu- internet address = 220.181.5.97 
3 aidu nameseruer = dns.baidu.com 
aidu naneserver = nsz.baidu .com 
165. tsinghua.edu.cn 。 /在 济 成 功 ， 得 到 威名 aidu nameseruer : ns3.baidu com 
人 aidu. naneserver = ns4.baidu .com 
a aidu. MX preference = 10, mail exchanger = mx1.baidu.com 
> 


图 11-52 查询 A 记录 图 11-53 各 种 信息 资源 记录 
(7) set degug: 这 个 命令 与 set d2 的 作用 类 似 ， 都 是 显示 查询 过 程 的 详细 信息 ，set d2 显示 
的 信息 更 多 ， 有 查询 请 求 报 文 的 内 容 和 应 答 报 文 的 内 容 。 图 11-54 是 利用 set d2 显示 的 查询 过 
程 。 这 些 信息 可 用 于 对 DNS 服务 器 进行 排 错 。 


> 90t d2 


> 163.com cn 
服务 器 Unknown 
Raddress: 218.38.19.99 


SendRequest(] ，len 28 
NERDER 
+ QUERY, id *。 2，rcode 。 NOERROR 


flags: “query, want recursion 
ions * 1, ansuere * 0, authority records * 9, sdditional = © 


QUESTIONS: 
163.com.cn, type + A, clase = IN 


Got anawer (44 bytes) 
HEADER 


‘opcode : OUERY, id * 2, reode : NOERROR 
header flags: ‘responce, vant recursion，recureion auail 
questions + 1, answere * 1, authority recorde + 9， additional 。 © 


QUESTIONS: 
163.com.cn, type + A, clase = IN 


IN, dlen = 
internet addreos = 219.137.167.157 
tt1 = 86400 (1 day) 


SendRequect() ，len 28 
HERDER 
opcode = QUERY，id = 3, reode = NOERROR 


header flags: query, vant recursion 
questions = 1, ansuers : 8, authority records : 0, additional : © 


QUESTIONS: 
163.com.cn. type : AAAA, class = IN 


Got anever (28 bytes) 
HEADER 


‘opcode : QUERY，id = 3, reode = NOERROR 
header flags: response, vant recureion, recursion auail 
questions ansuers : 6， authority records additional : © 


(OUESTIONS: 
163.com.cn. type = AAAN, class = IN 


163.com.cn 
Rddress: 219.137_167_157 


> 


图 11-54 显示 查询 过 程 
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M7 -net 


Windows 中 的 网 络 服务 都 使 用 以 net 开头 的 命令 。 在 cmd.exe 提示 符 下 输入 net /?， 则 显示 
net 命令 的 列表 如 下 : 


NET [ ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP | 
HELPMSG | LOCALGROUP | NAME | PAUSE | PRINT | SEND | SESSION | 
SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW ] 


如 果 要 查看 某 个 net 命令 的 使 用 方法 ， 则 输入 net help“ 命 令 名 ”。 例 如 为 了 显示 accounts 
命令 的 用 法 ， 输 入 cx\ >net help accounts， 结 果 如 图 11-55 所 示 。 


:\Docunents and Settings\Adninistratornet help accounts 


命令 的 语法 是 


ACCOUNTS 
[AFORCELOGOFF: Cminutes ! NO>] [/MINPWLEN:length] 
[/MAXPYAGE: Cdays ! UNLIMITED》] [/MINPWAGE:days] 
[/UNIQUEPW:nunber] [/DOMAIN] 


ET ACCOUNTS 命令 的 帐户 数 所 有 帐户 修改 窗 辜 
二 i ea NET ACCOUNTS 会 
登录 限制 ， 以 及 域 信息 的 当前 
的 后 NET ACCOUNTS 本 Oe 
i 的 柳生 吕 且 时 (使用 “用 户 管理 器 ”或 NET USER 命令 ;， 密 码 和 
人 NET Logon 服务 。 当 Windows 启动 时 ， 
Net Logon 会 自动 启动 。 
的 分 钟 数 。 这 
和 
INPWLEN: length 


XPUAGE:Cdays 1 UNLIMITED》 设置 


INPWAGE: days 


MAXPWAGE 先 
NIQUEPV:nunber RE 


DOMAIN 和 入 和 市委 上 执 和 操作 ， 否则 在 本 地 计算 


HELP connand ! MORE 还 屏 显示 帮助 。 


图 11-55 ”net 帮助 命令 


下 面 举 出 几 个 常用 的 net 命令 的 例子 。 
ec:vnetuser: 显示 所 有 用 户 的 列表 。 
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。 ”ci\>net share: 显示 共享 资源 。 

e ”ci\>net start: 显示 已 启动 的 服务 列表 。 

。 ”ci\>net start telnet: 启动 telnet 服务 。 

。 “ci\>net stop telnet: 停止 telnet 服务 。 

e cnetuse: 显示 已 建立 的 网 络 连接 。 

。 cnet view: 显示 计算 机 上 的 共享 资源 列表 。 

。 cnet send: 192.168.10.1“ 时 间 到 了 ， 请 关机 ”向 地 址 为 192.168.10.1 的 计算 机 发 送 
消息 。 


11.8 ”网络 监视 和 管理 工具 


用 于 采集 网 络 数据 流 并 提供 数据 分 析 能 力 的 工具 称 为 网 络 监 视 器 。 监 视 网 络 的 目的 是 对 数 
据 流 进行 分 析 , 发 现 网 络 通信 中 的 问题 。 网 络 监视 器 能 提供 利用 率 和 数据 流量 方面 的 统计 数据 ， 
还 能 从 网 络 通信 流 中 捕获 数据 帧 ， 并 筛选 、 解 释 、 分 析 这 些 数据 帧 的 内 容 ， 判 断 其 来 源 和 去 向 。 
目前 大 多 数 网 络 都 是 基于 以 太 网 构建 的 ， 广 播 通信 方式 决定 了 在 一 台 计 算 机 上 可 以 采集 到 子 网 
内 的 全 部 通信 流 ， 因 此 网 络 监视 器 的 有 效 范围 遍及 路 由 器 以 内 的 全 部 通信 主机 。 

目前 最 常用 的 网 络 监视 工具 有 Sniffer、NetXray 和 Ethereal 等 ， 其 中 Sniffer 的 功能 最 强 ， 
使 用 最 为 普遍 。 下 面 介绍 Sniffer 的 功能 和 使 用 方法 。 


11.8.1 网 络 监听 原理 


由 于 以 太 网 采用 广播 通信 方式 ,所 以 在 网 络 中 传送 的 分 组 可 以 出 现在 同一 冲突 域 中 的 所 有 
端口 上 。 在 常规 状态 下 ， 网 卡 控制 程序 只 接收 发 送 给 自己 的 数据 包 和 广播 包 ， 对 目标 地 址 不 是 
自己 的 数据 包 则 丢弃 。 如 果 把 网 卡 配置 成 混杂 模式 (Promiscuous Mode), 它 就 能 接收 所 有 分 组 ， 
无 论 是 不 是 发 送 给 自己 的 。 

采用 混杂 模式 的 程序 可 以 把 网 络 连 接 上 传输 的 所 有 分 组 都 显示 在 屏幕 上 。 有 些 协议 例如 
FTP 和 Telnet) 在 传输 数据 和 口令 字 时 不 进行 加 密 ， 采 用 混杂 模式 的 网 络 扫描 器 就 可 以 解读 和 
提取 有 用 的 信息 ， 这 给 网 络 黑客 造成 了 可 乘 之 机 。 利 用 网 络 监听 技术 ， 既 可 以 进行 网 络 监控 ， 
解决 网 络 管理 中 的 问题 ， 也 可 以 进行 网 络 窍 听 ， 实 现 网 络 入 侵 的 目的 。 

当 一 个 主机 采用 混杂 模式 进行 网 络 监听 时 , 它 是 可 以 被 检查 出 来 的 。 这 里 主要 有 两 种 方法 : 
一 种 是 根据 时 延 来 判断 。 由 于 采用 混杂 模式 的 主机 要 处 理 大 量 的 分 组 , 所 以 它 的 负载 必定 很 重 ， 
如 果 发 现 某 个 计算 机 的 响应 很 慢 ， 就 可 以 怀疑 它 是 工作 于 混杂 模式 。 另 外 一 种 方法 是 使 用 错误 
的 MAC 地 址 和 正确 的 地 址 向 它 发 送 ping 数据 包 , 如 果 它 接收 并 应 答 了 这 个 数据 包 , 那 一 定 
是 采用 混杂 模式 进行 通信 的 。 
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混杂 模式 通信 被 广泛 地 使 用 在 恶意 软件 中 ， 最 初 是 为 了 获取 根 用 户 权限 〈Root 
Compromise)， 继 而 进行 ARP 欺骗 (ARP Spoofing)。 凡 是 进行 ARP 欺骗 的 计算 机 必定 把 网 卡 
设置 成 了 混杂 模式 ， 所 以 检测 那些 滥用 混杂 模式 的 计算 机 是 很 重要 的 。 


11.8.2 ”网 络 嗅 探 器 


嗅 探 器 〈Sniffer) 就 是 采用 混杂 模式 工作 的 协议 分 析 器 ， 可 以 用 纯 软 件 实 现 ， 运 行 在 普通 
的 计算 机 上 ; 也 可 以 做 成 硬件 ， 用 独立 设备 实现 高 效率 的 网 络 监 控 。Sniffer Network Analyzer 
是 美国 网 络 联盟 公司 (Network Associates INC， 
NAI) 的 注册 商标 ， 然 而 许多 采用 类 似 技 术 的 网 络 


Select Settings | 


协议 分 析 产 品 也 可 以 叫 作 嗅 探 器 。NAI 是 电子 商务 Select settings for nonitoring; 


ET 


和 网 络 安全 解决 方案 的 主要 供应 商 ， 它 的 产品 除了 

Sniffer Pro 之 外 ， 还 有 著名 的 防毒 软件 McAfee。 
常用 的 Sniffer Pro 网 络 分 析 器 可 以 运行 在 各 种 加 

Windows 平台 上 。Sniffer 软件 安装 完成 后 在 文件 菜 | sweet ne Jebernet e023 

单 中 选择 Select Settings， 就 会 出 现 如 图 11-56 所 示 

的 界面 ， 在 这 里 可 以 选择 用 于 监控 的 网 卡 ， 将 其 置 

于 混杂 模式 。 图 11-56 ”设置 网 卡 


11.8.3 ”Sniffer 软件 的 功能 和 使 用 方法 


Sniffer Pro 主要 包含 4 种 功能 组 件 。 

(1) 监视 。 实 时 解码 并 显示 网 络 通信 流 中 的 数据 。 

(2) 捕获 。 抓 取 网 络 中 传输 的 数据 包 并 保存 在 缓冲 区 或 指定 的 文件 中 ， 供 以 后 使 用 。 

(3) 分 析 。 利 用 专家 系统 分 析 网 络 通信 中 潜在 的 问题 ， 给 出 故障 症状 和 诊断 报告 。 

(4) 显示 。 对 捕获 的 数据 包 进行 解码 ， 并 以 统计 表 或 各 种 图 形 方式 显示 在 桌面 上 。 

网 络 监控 是 Sniffer 的 主要 功能 ,其 他 功能 都 是 为 监控 功能 服务 的 。 网 络 监控 可 以 提供 下 列 
信息 。 

(1) 负载 统计 数据 ， 包 括 一 段 时 间 内 传输 的 帧 数 、 字 节 数 、 网 络 利用 率 、 广 播 和 组 播 分 组 
计数 等 。 

(2) 出 错 统计 数据 ， 包 括 CRC 错误 、 冲 突 碎片 、 超 长 帧 、 对 准 出 错 和 冲突 计数 等 。 

(3) 按照 不 同 的 底层 协议 进行 统计 的 数据 。 

(4) 应 用 程序 的 响应 时 间 和 有 关 统 计数 据 。 

(5) 单个 工作 站 或 会 话 组 通信 量 的 统计 数据 。 

(6) 不 同 大 小 数据 包 的 统计 数据 。 
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图 11-57 所 示 是 Sniffer 的 系统 界面 ， 并 且 给 出 了 监视 菜单 (Monitor) 及 其 工具 栏 的 解释 。 
当 Sniffer 工作 时 ， 单 击 “ 主 控 板 ”按钮 ， 可 以 显示 网 络 利 用 率 、 数 据 包 数 / 秒 和 错误 数 / 秒 3 个 
计量 表 。 这 个 窗口 下 面 有 以 下 3 个 选项 (如 图 11-58 所 示 )。 
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图 11-57 Sniffer 主 菜单 


Dashboard 


图 11-58 ”Sniffer 主 控 板 


。 ”Network: 显示 网 络 利 用 率 等 统计 信息 。 

。 ”Detail Erors: 显示 出 错 统计 信息 。 

。 Size Distribution: 显示 各 种 不 同 大 小 分 组 数 的 统计 信息 。 

单 击 “主机 表 ” 按 钮 ， 可 以 显示 通信 最 多 的 前 10 个 主机 的 统计 数据 ， 如 图 11-59 所 示 。 单 
击 “ 和 矩阵 ”按钮 ， 可 以 显示 主机 之 间 进 行 会 话 的 情况 ， 如 图 11-60 所 示 。 其 他 按钮 的 使 用 是 类 
似 的 ， 由 于 GUI 界面 直观 易 用 ， 读 者 可 以 利用 帮助 信息 熟悉 Sniffer 的 使 用 方法 。 
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图 11-59 主机 表 
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图 11-60 和 矩阵 显示 


11.8.4 HP OpenView 


多 个 功能 套件 组 成 ， 形 成 了 


HP OpenView 
统 。HP OpenView 包 


括 以 下 套件 。 
- 体 化 的 网 络 和 系统 管理 平台 


个 集 网 络 管理 和 系统 管理 为 


蔷 


加 10010017.42 
园 20811114853 
固 20811117352 
四 20811114830 
加 22291144140 
轩 10010017255 


四 1241153233 


加 10010017139 


000FE22931C1 
> Broadcast 


Bridoe group 


体 的 完整 系 


能 支持 数 百 个 受 控 节 点 和 数 


e HPOpenView Operations: 台 ， 
和 个 事件 。 

。 ”HP OpenView Reporter: 报告 管理 软件 ， 为 分 布 式 IT 环境 提供 灵活 易 用 的 报告 管理 解 
决 方案 ,通过 Web 浏览 器 可 以 发 布 和 访问 各 种 管理 报告 。 

。 ”HP OpenView Performance: 端 到 端的 资源 理 软件 ， 能 收集 、 统 计 和 记录 来 自 


应 用 、 数 据 库 、 网 络 和 操作 系统 的 资源 及 性 能 测量 数据 。 
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。 HP OpenView GlancePlus: 实时 诊断 和 监控 软件 ， 可 以 显示 系统 级 、 应 用 级 和 进程 级 
的 性 能 视图 ， 诊 断 和 识别 系统 运行 中 的 问题 和 性 能 瓶颈 。 

。 HP OpenView GlancePlus Pak 2000: 全 面 管理 系统 可 用 性 的 综合 性 产品 。 在 GlancePlus 
了 Pak 的 基础 上 增加 了 单一 系统 事件 与 可 用 性 管理 ， 可 监控 系统 中 的 关键 事件 ， 使 系统 
处 于 最 佳 性 能 状态 。 

。 HP OpenView Database Pak 2000: 服务 器 与 数据 库 的 性 能 管理 软件 。 它 提供 强大 的 系 
统 性 能 诊断 功能 , 可 以 检测 关键 事件 并 采取 修复 措施 , 可 提供 200 多 种 测量 数据 和 300 
多 种 日 志文 件 。 

以 上 模块 既 相 对 独立 ， 又 可 集成 在 一 起 ， 为 企业 提供 高 可 用 性 的 系统 管理 解决 方案 。 

HP OpenView 最 初 是 为 网 络 管理 设计 的 ， 其 基础 产品 是 网 络 节点 管理 器 (Network Node 
Manager, NNM)。NNM 作为 网 络 和 系统 管理 的 基础 平台 , 可 以 与 第 三 方 管理 应 用 集成 在 一 起 ， 
形成 强大 的 综合 的 网 络 管理 环境 。HP OpenView NNM 的 主要 功能 特点 介绍 如 下 。 

(1) 自动 发 现 网 络 的 拓扑 结构 ， 全 面 管 理 网 络 中 的 各 种 设备 。NNM 能 够 自动 发 现 网 络 节 
点 ， 监 测 网 络 连接 ， 生 成 和 记录 TCP/IP 网 络 视图 ， 通 过 不 同色 彩 表示 网 络 设备 的 运行 状态 ， 
发 现 和 监控 功能 还 可 以 探测 广域网 上 的 设备 。 通 过 SNMP Data Presenter， 用 户 可 以 查询 网 络 的 
SNMP 信息 。 

(2) 具有 管理 大 型 、 多 节点 网 络 的 能 力 ， 可 以 适应 多 厂商 设备 、 多 操作 系统 的 异 构 型 环境 。 
NNM 可 以 管理 多 达 1000 个 以 上 的 节点 ， 能 够 适应 地 理 上 分 布 的 网 络 环境 。HP OpenView 是 一 
种 支持 多 厂商 应 用 软件 的 管理 平台 ， 可 以 支持 21 种 操作 系统 中 的 智能 代理 ， 包 括 Windows、 
NetWare 和 不 同 厂商 的 各 种 UNIX 等 。 

(3) 网 络 管理 采用 易于 操作 的 图 形 界面 。HP OpenView 采用 图 形 用 户 界 面 ， 管 理 人 员 可 以 
通过 熟悉 的 单 击 、 拖 动 、 菜 单 选项 等 技术 实现 网 络 管理 操作 。 使 用 OpenView Windows 的 窗 格 
和 缩放 功能 ， 在 保持 全 网 总 图 像 的 同时 ， 可 以 将 视点 聚焦 于 重点 子 图 的 关键 区 域 。 

(4) 与 系统 管理 有 机 地 集成 在 一 起 。HP OpenView 的 网 络 管理 产品 可 以 紧密 地 结合 到 企业 
整体 的 资源 与 系统 管理 平台 中 , 例如 HP OpenView Operation 中 就 内 柑 了 NNM 模块 。 其 他 的 网 
络 管理 模块 都 可 以 在 HP OpenView Operation 的 操作 平台 上 执行 操作 和 显示 数据 。 

(5) 对 搜集 到 的 信息 可 以 进行 有 针对 性 地 选择 。NNM 对 于 所 搜集 到 的 信息 具有 简化 功能 ， 
可 提供 发 现 过 滤 和 拓扑 过 滤 、 图 像 过 滤 3 种 过 滤 方 式 ， 使 管理 人 员 可 以 根据 需要 选择 要 监控 的 
对 象 ， 定 制 视图 显示 的 内 容 和 管理 节点 之 间 传 输 的 信息 。 

(6) 网 络 管理 信息 传输 不 会 过 多 地 占用 网 络 资源 。NNM 一 方面 可 以 对 网 络 中 的 信息 进行 
过 滤 , 另 一 方面 可 以 在 本 地 进行 网 络 故障 的 处 理 , 只 把 故障 事件 和 处 理 结果 上 报 给 上 层 控制 台 ， 
从 而 减少 了 网 络 管理 信息 传输 的 通信 流量 。 

(7) 分 布 式 的 体系 结构 和 远程 管理 操作 。HP OpenView 的 分 布 式 解 决 方案 便于 协调 管理 人 
员 的 管辖 范围 ， 实 现 分 层次 的 网 络 管理 模式 。NNM 能 够 通过 Web 界面 访问 网 络 拓扑 和 网 管 数 
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据 , 在 万 维 网 的 任何 地 点 都 可 以 进行 远程 管理 操作 。 采 用 HP OpenView Web Launcher 还 可 以 在 
任何 地 点 启动 基于 Java 的 HP OpenView 应 用 ， 带 有 密码 校 验 的 登录 过 程 确保 了 管理 的 安全 性 。 

(8) 故障 的 发 现 、 显 示 与 排除 。NNM 能 自动 对 网 络 进行 监测 ， 搜 集 网 络 中 的 故障 和 报警 
信息 。NNM 采用 事件 关联 技术 ， 使 得 网 管 人 员 能 够 快速 定位 和 排除 故障 。 通 过 高 级 事件 关联 
引擎 把 事件 与 高 层次 报警 关联 起 来 ， 可 以 立即 发 现 网 络 故障 的 根本 原因 。 

(9) 与 其 他 网 管 工具 的 集成 。HP OpenView 提供 了 SNMP 管理 信息 库 的 标准 管理 功能 ， 用 
户 还 可 以 对 MIB 数据 库 进行 扩展 。HP OpenView 提供 了 标准 的 开发 工具 , 用 于 开发 可 集成 到 管 
理 平 台 上 的 应 用 软件 。HP OpenView 已 经 被 众多 厂商 作为 其 网 络 设备 管理 的 平台 软件 。 

(10) 功能 强大 、 简 单 易 用 的 二 次 开发 能 力 。HP OpenView 提供 的 各 种 应 用 开发 包 采 用 图 
形 用 户 界面 ,无 须 具备 特殊 开发 技巧 就 可 以 开发 网 管 应 用 程序 。HP OpenView 提供 了 基于 C 语 
言 的 API， 具 有 功能 强大 的 可 供 调用 的 管理 函数 和 公共 服务 ， 支 持 第 三 方 合作 伙伴 开发 多 平台 
的 、 可 扩展 的 分 布 式 网 络 管理 应 用 软件 。 


11.8.5 IBM Tivoli NetView 


Tivoli NetView 是 IBM 公司 的 网 络 管理 工具 ， 能 够 提供 整个 网 络 环境 的 完整 视图 ， 实 现 对 
网 络 产品 的 管理 。 它 采用 SNMP 协议 对 网 络 上 的 设备 进行 实时 监控 , 对 网 络 中 发 生 的 故障 进行 
报警 ， 从 而 减少 了 系统 管理 的 难度 和 管理 工作 量 。 

IBM Tivoli NetView 网 络 管理 解决 方案 可 以 实现 的 功能 主要 如 下 。 

(1) 网 络 拓扑 管理 。NetView 能 够 自动 发 现 联 网 的 下 节点， 包括 路 由 器 、 交 换 机 、 服 务 器 
和 PC 等 ， 并 自动 生成 拓扑 连接 。NetView 还 可 以 按照 地 理 位 置 对 网 络 拓扑 图 形 进行 定制 ， 使 
之 与 实际 的 网 络 结构 更 加 吻合 。 图 11-61 是 Tivoli 网 络 管理 拓扑 显示 界面 。 
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11-61 Tivoli 网 络 管理 拓扑 显示 界面 
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NetView 提供 的 SmartSet 功能 可 以 将 具有 相同 属性 的 管理 对 象 组 成 一 个 集合 ， 例 如 用 户 可 
以 把 重要 的 路 由 器 放 在 一 起 作为 一 个 集合 ， 进 行 统一 的 管理 设置 。SmartSet 甚至 不 需要 手工 加 
入 对 象 ， 管 理 员 只 需 设置 加 入 集合 的 条 件 ，SmartSet 就 能 够 动态 地 发 现 符合 条 件 的 设备 并 自动 
加 入 集合 视图 ， 从 而 为 管理 员 提供 了 很 大 的 便利 。 

(2) 网 络 故障 管理 。 网 络 故 障 管理 是 网 络 管理 的 核心 。NetView 的 图 形 化 网 络 拓扑 结构 可 
以 迅速 发 现 出 现 故障 的 资源 ， 并 帮助 管理 员 分 析 故 障 原因 。 当 网 络 中 的 设备 出 现 故 障 、 死 机 
或 链 路 中 断 时 ，NetView 会 及 时 在 屏幕 上 显示 报警 信 号 ， 便 于 网 络 管理 人 员 进 行 诊断 ， 并 排除 
故障 。 

(3) 网 络 性 能 管理 。NetView 的 SnmpCollect 功能 可 以 自动 采集 重要 的 网 络 性 能 数据 ， 例 
如 正 流量 、 带 宽 利用 率 、 出 错 包 数量 、 丢 弃 包 数量 和 SNMP 流量 等 。 通 过 设置 各 种 参数 的 阅 
值 ，NetView 能 够 自动 发 出 报警 信号 ， 或 自动 运行 已 定义 的 管理 操作 。NetView 可 以 用 图 形 的 
方式 显示 网 络 性 能 数据 的 变化 情况 ， 或 者 将 管理 数据 存放 在 关系 数据 库 中 ， 以 便于 以 后 进行 检 
索 和 分 析 。 图 11-62 所 示 为 网 络 性 能 分 析 视 图 。 


图 11-62 ”网络 性 能 分 析 监 控 显示 


Tivoli 数据 仓库 为 网 络 性 能 管理 提供 集中 的 历史 统计 和 报表 分 析 ， 能 够 帮助 管理 人 员 从 大 
量 数据 中 及 时 发 掘 出 可 用 于 判断 网 络 运行 状态 的 数据 ， 能 够 生成 各 种 报表 和 图 形 化 的 分 析 
报告 。 

(4) 网 络 设备 管理 。Tivoli NetView 是 使 用 最 广泛 的 网 络 管理 平台 之 一 ， 支 持 业 界 标准 
API， 能 够 与 主要 网 络 设备 厂商 的 设备 管理 软件 (如 Cisco Works、Nortel Optivity 和 3com 
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Transcend 等 ) 方便 地 进行 集成 。 

(5) 管理 权限 分 配 。NetView 可 以 为 管理 员 定义 不 同 的 管理 角色 ， 不 同 的 管理 角色 可 以 被 
授权 管理 不 同 地 域 范围 的 设备 ， 没 有 权限 管理 的 设备 不 会 出 现在 网 络 拓扑 视图 中 。 

(6) Web 管理 功能 。NetView 通过 Web 控制 台 实现 了 分 布 式 的 网 络 管理 。NetView Web 
控制 台 为 用 户 提 供 了 一 个 灵活 、 可 配置 的 环境 ， 便 于 用 户 远程 访问 网 络 设备 、 浏 览 交换 机 的 端 
、 检 查 路 由 器 的 工作 状态 、 查 看 MAC 地 址 等 。 

(7) 支持 MPLS 管理 功能 。NetView 7.1 支持 对 多 协议 标记 交换 设备 的 识别 ， 并 能 对 有 关 
MPLS 的 数据 进行 查询 ， 可 以 管理 LSR 设备 。 

(8) 交换 机 的 故障 定位 。IBM Tivoli Switch Analyzer 提供 了 第 二 层 交 换 设备 的 发 现 功 能 ， 
能 够 识别 包括 第 二 层 和 第 三 层 交换 设备 在 内 的 各 种 设备 之 间 的 关系 。 正 确 地 关联 分 析 可 以 区 分 
不 同 的 设备 ， 无 论 是 他 寻 址 的 端口 ， 还 是 第 二 层 交 换 机 上 非 他 寻 址 的 端口 、 板 卡 或 插件 。 


11.8.6 CiscoWorks for Windows 


CiscoWorks for Windows 是 基于 Web 的 网 络 管理 解决 方案 ， 主 要 应 用 于 中 小 型 企业 网 络 ， 
提供 了 一 套 功能 强大 、 价 格 低廉 且 易于 使 用 的 监控 和 配置 工具 ， 用 于 管理 Cisco 的 交换 机 、 路 
由 器 、 集 线 器 、 防 火 增 和 访问 服务 器 等 设备 。 使 用 Ipswitch 公司 的 WhatsUp Gold 工具 ， 还 可 
管理 网 络 打印 机 、 工 作 站 、 服 务 器 和 其 他 网 络 设 备 。CiscoWorks for Windows 中 包含 下 列 组 件 。 

(1) CiscoView。CiscoView 可 以 提供 设备 前 、 后 面板 的 视图 ， 能 够 以 不 同 颜色 动态 地 显示 
设备 状态 ， 并 提供 对 特定 设备 组 件 的 诊断 和 配置 功能 。CiscoView 启动 后 可 以 从 设备 列表 中 选 
择 要 监视 的 设备 。 如 果 要 监视 的 设备 不 在 设备 列表 中 ,， 则 直接 输入 设备 他 地 址 。 选 择 了 一 个 设 
备 之 后 ， 将 出 现 有 关 该 设备 信息 的 界面 ， 如 图 11-63 所 示 。 


CiscoView 


cco 


[ET DE 


图 11-63 ”Cisco View 界面 
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(2) WhatsUp Gold。WhatsUp Gold 是 一 种 基于 SNMP 的 图 形 化 网 络 管理 工具 ， 可 以 通过 
自动 或 手工 创建 网 络 拓扑 结构 图 管理 整个 企业 网 络 ， 支 持 监视 多 个 设备 ， 具 有 网 络 搜索 、 拓 扑 
发 现 、 性 能 监测 和 和 警报 追踪 等 功能 。WhatsUp Gold 的 界面 如 图 11-64 所 示 。 


图 11-64 WhatsUp Gold 用 户 界面 


(3) 门限 管理 。 门 限 管理 器 (Threshold Manager) 能 够 在 支持 RMON 的 Cisco 设备 上 设置 
门限 值 并 提取 事件 信息 ， 以 增强 排除 网 络 故障 的 能 力 。 在 使 用 Threshold Manager 之 前 ， 必 须 建 
立 门 限 模板 。Cisco 公司 提供 了 一 些 预 定义 的 模板 ， 用 户 也 可 以 定义 自己 的 模板 。Threshold 
Manager 管理 界面 如 图 11-65 所 示 。 


图 11-65 ”Threshold Manager 管理 界面 
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在 图 11-65 中 ，Event Log 窗口 以 表格 的 方式 显示 越界 事件 信息 ， 并 把 RMON 日 志 记 录 保 
存在 被 管理 设备 上 ; Device Thresholds 窗口 用 来 设置 和 显示 闵 值 ，Templates 窗口 用 来 显示 所 有 
默认 的 或 用 户 定制 的 模板 , 也 可 以 建立 新 的 模板 ;Trap Receivers 窗口 可 以 添加 或 删除 接收 陷入 
事件 的 管理 站 点 ;Preferences 窗口 则 用 来 设置 Threshold Manager 的 属性 。 

(4) Show Commands。Show Commands 使 得 用 户 不 必 记 住 各 个 设备 的 命令 行 语法 ， 使 用 
Web 浏览 器 进行 简单 操作 就 可 以 获取 设备 的 系统 信息 和 协议 信息 。Show Commands 在 Web 页 
面 的 左边 以 树 型 结构 显示 了 设备 所 支持 的 命令 列表 ， 如 图 11-66 所 示 。 当 用 户 选择 了 一 个 命令 
后 ，Show Commands 将 执行 所 选择 的 命令 ， 并 显示 命令 行 的 输出 信息 。 

同 占 器 | 


Home 


Device Name: 10.10.10.1 


Unconpressed configuration frcn 1080 bytes to 2331 bytes 
1 


version 12.1 
no service pad 

service tinestanps debug uptine 
service tinestanps log uptine 
no service passvord-encryptior 
service conpress-config 


1 
hoetnane SINOSOFT 
! 


enable secret 5 $1SIPGKSN5UCjCSISnfF/1IYObyvqJ/ 
1 


Flaccounting 


站 _. 


图 11-66 Show Commands 操作 界面 


11.9 网 络 存储 技术 
11.9.1 廉价 磁盘 元 余 阵列 


廉价 磁盘 元 余 阵列 Redundant Arrays of Inexpensive Disk，RAID) 是 美国 加 利 福 尼 亚 大 学 
伯 克 莱 分 校 在 1987 年 提出 的 ， 它 是 利用 一 台 磁 盘 阵 列 控制 器 管理 一 组 ( 几 台 到 几 十 台 〉 磁盘 
驱动 器 ， 组 成 一 个 可 靠 的 、 快 速 的 大 容量 磁盘 系统 。 

宛 余 磁盘 阵列 技术 最 初 的 研制 目的 是 为 了 组 合 小 型 的 廉价 磁盘 来 代替 大 容量 的 昂贵 磁盘 ， 
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以 降低 大 批量 数据 存储 的 费用 ， 同 时 也 希望 采用 元 余 技术 提高 磁盘 数据 的 可 靠 性 ， 并 能 适当 提 
升 数据 传输 的 速率 。RAID 有 时 也 被 称 为 独立 磁盘 元 余 阵 列 (Redundant Array of Independent 
Disk)， 以 强调 其 可 作为 一 台 虚 拟 的 大 容量 硬盘 使 用 的 特点 。 

RAID 的 重要 特性 是 所 谓 的 EDAP (Extended Data Availability and Protection) 概念 ， 强 调 
了 这 种 系统 的 可 扩充 性 和 容错 机 制 。RAID 在 不 停机 的 情况 下 可 支持 以 下 功能 。 

(1) 自动 检测 硬盘 故障 。 

(2) 重建 硬盘 的 坏 道 信息 。 

(3) 硬盘 热 备份 。 

(4) 硬盘 热 蔡 换 。 

(5) 扩充 硬盘 容量 。 

过 去 RAID 一 直 作 为 高 档 SCSI 硬盘 的 配套 技术 在 高 档 服务 器 中 使 用 ， 近 年 来 随 着 技术 的 
发 展 和 产品 成 本 的 下 降 ，IDE 硬盘 性 能 有 了 很 大 提升 ， 加 之 RAID 芯片 的 普及 ， 使 得 RAID 也 
逐渐 应 用 到 个 人 计算 机 上 。 

RAID 规范 包含 RAID 0~RAID 7 多 个 等 级 ， 它 们 的 技术 特点 各 不 相同 ， 目 前 投入 商业 应 
用 的 有 下 列 几 种 。 


1，RAID 0 


RAID 0 需要 两 个 以 上 硬盘 驱动 器 ， 每 个 磁盘 划分 为 不 同 的 区 块 ， 如 图 11-67 所 示 。 数据 按 
区 块 Al、A2、A3、A4…… 的 顺序 存储 ， 数 据 访问 采用 交叉 存 取 、 并 行 传输 的 方式 。 将 数据 分 
布 在 不 同 驱动 器 上 ， 可 以 提高 传输 速度 ， 平 衡 驱 动 器 的 负载 。 但 这 种 系统 没有 差错 控制 措施 ， 
如 果 一 个 盘 上 的 数据 出 现 错误 , 其 他 盘 上 的 数据 也 无 用 了 。 RAID 0 不 能 用 于 对 数据 稳定 性 要 求 
较 高 的 场合 。 如 果 进 行 图 像 编 辑 ， 或 其 他 要 求 传输 速度 比较 高 的 场合 ， 使 用 RAID 0 比较 合适 。 
在 所 有 级 别 中 ，RAID 0 的 速度 是 最 快 的 。 


2.RAID 1 


上 共有 磁盘 镜像 功能 , 可 利用 并 行 读 / 写 特性 将 数据 分 块 并 同时 写 入 主 磁盘 和 镜像 盘 , 磁盘 容 
量 的 利用 率 只 有 50% ， 它 是 以 牺牲 磁盘 容量 为 代价 换取 可 靠 性 的 提高 。 在 图 11-68 中 ， 磁 盘 1 
是 主 磁盘 ， 人 磁盘 2 是 镜像 盘 。 

RAID 1 控制 器 能 够 同时 对 两 个 盘 进 行 读 / 写 操作 ， 通 过 镜像 技术 提高 系统 的 容错 能 力 。 当 
主 硬盘 损坏 时 ， 镜 像 硬 盘 就 可 以 代替 主 硬盘 工作 ， 镜 像 硬盘 相当 于 一 个 备份 盘 ， 这 种 硬盘 控制 
模式 的 安全 性 是 非常 高 的 -RAID 1 的 差错 校 验 功能 对 系统 的 处 理 能 力 有 很 大 影响 ,通常 的 RAD 
功能 由 软件 实现 ， 在 服务 器 负载 比较 重 时 会 影响 其 工作 效率 。 当 系统 需要 极 高 的 可 靠 性 时 ， 例 
如 进行 数据 统计 ， 使 用 RAID 1 比较 合适 。RAID 1 技术 支持 热 蔡 换 ， 即 在 不 断 电 的 情况 下 对 故 
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障 磁盘 进行 更 换 ， 更 换 完毕 后 只 要 从 镜像 盘 上 恢复 数据 即 可 。 


1 2 

磁盘 1 磁盘 2 再 
0 

区 块 0 区 沁 

区 块 2 区 
2 

区 块 4 Es 

图 11-67 RAID0 图 11-68 RAID1 


3. RAID2 和 RAID3 


RAID 2 与 RAID 3 类 似 ， 两 者 都 是 将 数据 分 块 存储 在 不 同 的 硬盘 上 实现 多 模块 交叉 存 取 ， 
并 在 数据 访问 时 提供 差错 校 验 功能 。RAID 2 使 用 海 明 码 进行 差错 校 验 , 需要 单独 的 磁盘 存放 校 
验 与 恢复 信息 。RAID 2 的 实现 技术 代价 昂贵 ， 在 商业 环境 中 很 少 使 用 。 

RAID 3 采用 奇偶 校 验 方式 ， 只 能 查 错 不 能 纠 错 。 这 种 技术 需要 3 个 以 上 的 驱动 器 ， 一 个 
磁盘 专门 存放 奇偶 校 验 码 ， 其 他 磁盘 作为 数据 盘 实 现 多 模块 交叉 存 取 ， 如 图 11-69 所 示 。RAID 3 
访问 数据 时 一 次 处 理 一 个 区 块 ， 这 样 可 以 提高 读 取 和 写 入 的 速度 ， 奇 偶 校 验 码 在 写 入 数据 时 产 
生 并 保存 在 校 验 盘 上 。RAID 3 主要 用 于 图 形 图 像 处 理 等 要 求知 叶 率 比较 高 的 场合 , 对 于 大 量 的 
连续 数据 可 提供 良好 的 传输 速率 ， 但 对 于 随机 数据 ， 奇 偶 校 验 盘 会 成 为 写 操作 的 瓶颈 。 利 用 单 
独 的 奇偶 校 验 盘 来 保护 数据 可 以 使 磁盘 的 利用 率 提高 到 (n-1) /n。 


磁盘 1 磁盘 2 磁盘 3 | 磁盘 4 
区 块 0 区 块 1 区 块 2 | 区 块 3 
区 块 4 区 块 5 区 块 6 | 区 块 7 
区 块 8 区 块 9 区 块 10 | 区 块 1 


图 11-69 RAID3 


4. RAIDS 


这 是 一 种 分 布 式 奇偶 校 验 的 独立 磁盘 结构 。 与 RAID 3 不 同 的 地 方 是 ， 用 来 进行 纠 错 的 校 


第 11 章 网 络 管理 ooB 


验 信息 分 布 在 各 个 数据 盘 上 ， 没 有 专门 的 校 验 盘 ， 图 11-70 中 的 P01 表示 区 块 0 和 区 块 1 按 位 
异 或 运算 后 得 到 的 校 验 和 ， 以 此 类 推 。 这 种 校 验 方式 允许 


任何 一 台 磁 盘 机 损坏 ， 例 如 磁盘 3 坏 了 ， 则 可 以 用 区 块 0 | 磁盘 1 磁盘 2 磁盘 3 
和 区 块 1 进行 异 或 运算 重新 得 到 P01， 用 P23 和 区 块 3 进 
行 异 或 运算 重新 得 到 区 块 3， 以 此 类 推 。 区 块 0 


RAID 5 的 读 出 效率 很 高 ， 写 入 效率 一 般 ， 对 区 块 式 SS 
的 聚集 访问 效率 不 错 。 由 于 奇偶 校 验 码 分 布 在 不 同 的 碰 盘 
上 ， 允 许 单个 磁盘 出 错 ， 所 以 提高 了 可 靠 性 ， 也 提高 了 磁 | 区 块 5 
盘 的 利用 率 。 但 是 它 对 数据 传输 的 并 行 性 解决 得 不 好 ， 而 
且 控 制 器 的 设计 也 相当 复杂 。 对 于 RAID 5 来 说 ， 大 部 分 
数据 传输 只 对 一 块 磁盘 操作 ， 可 进行 并 行 访问 。 


5. RAID 0+1 


区 块 6 


正如 其 名 字 所 暗示 的 一 样 , RAID 0+1 是 RAID 0 和 RAID 1 的 组 合 形式 , 也 称 为 RAID 10。 
在 此 以 4 个 磁盘 组 成 的 RAID 0+1 为 例 ， 其 数据 存储 方式 如 图 11-71 所 示 。RAID 0+1 是 存储 性 
能 和 数据 安全 兼顾 的 方案 。 它 在 提供 与 RAID 1 同样 的 数据 安全 保障 的 同时 也 提供 了 与 RAID 0 
近似 的 访问 速率 。 


磁盘 1 磁盘 2 磁盘 3 磁盘 4 
区 块 0 区 块 0 区 块 1 区 块 1 
区 块 2 区 块 2 区 块 3 区 块 3 
区 块 4 区 块 4 区 块 5 区 块 5 
区 块 6 区 块 6 区 块 7 区 块 7 


图 11-71 RAID 0+1 


由 于 RAID 0+1 通过 数据 的 100% 备 份 提供 数据 安全 保障 , 因此 RAID 0+1 的 磁盘 空间 利用 
率 与 RAID 1 相同 ， 存 储 成 本 很 高 。 

RAID 0+1 的 特点 使 其 特别 适用 于 既 有 大 量 数据 需要 存 取 ， 同 时 又 对 数据 安全 性 要 求 严格 
的 领域 ， 例 如 银行 、 金 融 、 商 业 超市 、 仓 储 库房 和 各 种 档案 管理 等 。 
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6. JBOD 模式 


JBOD 代表 Just a Bunch of Drives, 它 是 在 逻辑 上 将 几 个 物理 磁盘 连接 起 来 的 ,， 组 成 一 个 大 
的 逻辑 磁盘 。JBOD 不 提供 容错 ， 其 容量 等 于 所 有 磁盘 容量 的 总 和 。 从 严格 意义 上 说 ，JBOD 
不 属于 RAID 的 范围 ， 不 过 现在 很 多 IDE RAID 控制 芯片 都 带 有 这 种 模式 。JBOD 就 是 简单 的 
硬盘 容量 全 加 ， 但 系统 处 理 时 并 没有 采用 并 行 的 方式 ， 写 入 数据 的 时 候 是 先 写 一 块 硬盘 ， 写 满 
了 再 写 第 二 块 硬盘 。 

实际 应 用 中 最 常见 的 是 RAID 0、RAID 1、RAID 5 和 RAID 10。 由 于 在 大 多 数 场合 , RAID 
5 包含 了 RAID 2 一 4 的 优点 ,所 以 RAID 2 一 4 基本 退出 市 场 , 一 般 认 为 RAID 2 一 4 只 用 于 RAID 
的 开发 研究 领域 。 


11.9.2 ”网 络 存储 


基于 Windows、Linux 和 UNIX 等 操作 系统 的 服务 器 称 为 开放 系统 。 开 放 系统 的 数据 存储 
方式 分 为 内 置 存储 和 外 挂 存储 丙种 ， 而 外 挂 存储 又 根据 连接 的 方式 分 为 直 连 式 存储 和 网 络 化 存 
储 ， 目 前 应 用 的 网 络 化 存储 方式 有 丙种， 即 网 络 接 入 存储 和 存储 区 域 网 络 ， 如 图 11-72 所 示 。 
F 面 介绍 开放 系统 的 外 挂 存储 方式 。 


1. 直 连 式 存储 


开放 系统 的 直 连 式 存储 (Direct-Attached Storage，DAS) 如 图 11-73 所 示 ， 即 在 服务 器 上 
外 挂 了 一 组 大 容量 硬盘 ， 存 储 设备 与 服务 器 主机 之 间 采 用 SCSI 通道 连接 ， 带 宽 为 10Mbps、 


20Mbps、40Mbps 和 80Mbps 等 。 
应 用 服务 器 
文件 系统 


SCSI 或 FC 


内 置 存储 
| 


直 连 式 存储 
外 挂 仓储 | 网 络 接 人 存储 


网 络 化 存储 | 
存储 区 域 网 络 


图 11-72 存储 系统 的 分 类 图 11-73 DAS 
直 连 式 存储 直接 将 存储 设备 连接 到 服务 器 上 ， 这 种 方法 难以 扩展 存储 容量 ， 而 且 不 支持 数 
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据 容错 功能 ， 当 服务 器 出 现 异常 时 ， 会 造成 数据 丢失 。 

随 着 服务 器 CPU 处 理 能 力 的 不 断 增强 , 磁盘 存储 空间 越 来 越 大 , 硬盘 数量 越 来 越 多 , SCSI 
通道 将 会 成 为 IO 瓶颈 。 同时， 由 于 服务 器 主机 的 SCSIID 资源 有 限 ， 能 够 建立 的 SCSI 通道 连 
接 也 有 限 。 无 论 存储 阵列 或 是 服务 器 主机 的 扩展 ， 都 会 造成 系统 的 停机 ， 从 而 给 企业 带 来 经 济 
损失 ， 对 于 银行 、 电 信和 传媒 等 需要 7X24 小 时 服务 的 行业 ， 这 是 不 可 接受 的 。 

DAS 已 经 有 近 40 年 的 使 用 历史 ， 目 前 正在 让 位 于 日 渐 兴盛 的 网 络 化 存储 。 


2. 网 络 接 入 存储 


网 络 化 存储 的 出 现 适 应 了 网 络 成 为 主要 信息 处 理 平台 的 发 展 趋势 , 它 分 扒 了 数据 处 理 和 存 
储 管理 的 功能 ， 计 算 机 负责 数据 处 理 ， 而 存储 子 系统 负责 数据 的 存储 和 管理 。 网 络 化 存储 能 够 
提供 灵活 的 解决 方案 ， 利 用 专用 的 存储 子 系统 可 以 实现 以 下 功能 。 

(1) 在 多 个 存储 子 系统 之 间 合 理 地 分 配 存 储 任务 。 

(2) 在 多 个 存储 位 置 之 间 实现 可 靠 的 数据 传输 。 

(3) 实现 可 靠 的 数据 保护 和 数据 恢复 功能 。 

(4) 实现 多 个 主机 系统 对 数据 的 并 行 访 问 。 

网 络 接 入 存储 (Network Attached Storage，NAS) 是 将 存储 设备 连接 到 现 有 的 网 络 上 来 提 
供 数据 存储 和 文件 访问 服务 的 设备 。NAS 服 务 器 是 在 专用 主机 上 安装 简化 了 的 瘦 操 作 系 统 ( 只 
具有 访问 权限 控制 、 数 据 保 护 和 恢复 等 功能 ) 的 文件 服务 器 。NAS 服务 器 内 置 了 与 网 络 连接 所 
需要 的 协议 ， 可 以 直接 联网 ， 具 有 权限 的 用 户 都 可 以 通过 网 络 来 访问 NAS 服务 器 中 的 文件 。 
NAS 服务 器 直接 连接 磁盘 阵列 ， 它 具备 磁盘 阵列 的 所 有 特征 : 高 容量 、 高 效能 、 高 可 靠 性 。 
NAS 是 真正 即 插 即 用 的 产品 ， 物 理 位 置 灵 活 ， 可 放置 在 工作 组 内 ， 也 可 放 在 其 他 地 点 。 用 户 之 
所 以 选择 NAS 解决 方案 ， 原 因 是 NAS 价格 合理 、 便 于 管理 、 灵 活 且 能 实现 文件 共享 。 

典型 的 NAS 都 连接 到 普通 的 以 太 网 上 ， 提 供 预 先 配 置 好 的 磁盘 容量 和 存储 管理 软件 ， 成 
为 完备 的 网 络 存储 解决 方案 ， 如 图 11-74 所 示 。 


3， 存储 区 域 网 络 


存储 区 域 网 络 (Storage Area Network，SAN) 是 一 种 连接 存储 设备 和 存储 管理 子 系统 的 专 
用 网 络 ， 专 门 提供 数据 存储 和 管理 功能 。SAN 可 以 被 看 作 是 负责 数据 传输 的 后 端 网 络 ， 而 前 端 
网 络 〈 或 称 为 数据 网 络 ) 则 负责 正常 的 TCPJAP 传输 。 用 户 也 可 以 把 SAN 看 作 是 通过 特定 的 互 
连 方式 连接 的 若干 台 存 储 服务 器 组 成 的 单独 的 数据 网 络 ， 提 供 企业 级 的 数据 存储 服务 ， 其 拓扑 
结构 如 图 11-75 所 示 。 

SAN 是 一 种 特殊 的 高 速 网 络 ， 采 用 光纤 通道 (Fibre Channel) 实现 互 连 ， 通 过 光纤 通道 交 
换 机 连接 存储 阵列 和 文件 服务 器 主机 。SAN 不 仅 可 以 提供 大 容量 的 存储 数据 ， 而 且 地 域 上 可 以 
分 散 部 署 ， 从 而 缓解 了 大 量 数据 传输 对 于 局 域 网 通信 的 影响 。SAN 的 结构 使 得 文件 服务 器 可 以 
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连接 到 任何 存储 阵列 ， 不 管 数据 存放 在 哪里 ， 服 务 器 都 可 直接 访问 需要 的 数据 。 


应 用 服务 器 
应 用 服务 器 
文件 系统 
以 太 网 交换 机 
< FC 交换 机 
RAID RAID 
图 11-74 NAS 的 体系 结构 图 11-75 ”SAN 拓扑 结构 


与 NAS 相 比 ，SAN 具有 下 面 的 特点 。 

(1) SAN 具有 无 限 的 扩展 能 力 。 由 于 SAN 采用 了 网 络 结构 ,文件 服务 器 可 以 访问 SAN 网 
络 上 的 任何 一 个 存储 设备 ， 因 此 用 户 可 以 自由 扩展 磁盘 阵列 、 磁 带 库 和 服务 器 等 设备 ， 使 得 整 
个 系统 的 存储 空间 和 处 理 能 力 可 以 按照 用 户 需 求 不 断 扩 大 。 

(2) SAN 采用 了 为 大 规模 数据 传输 专门 设计 的 光纤 通道 技术 , 所 以 具有 更 高 的 传输 速度 和 
更 快 的 处 理 能 力 。 

图 11-76 表示 的 是 用 户 存储 文件 的 过 程 。 当 客户 端 把 要 存储 的 文件 发 送 给 文件 服务 器 时 ， 
文件 服务 器 不 是 把 数据 存储 在 本 地 的 硬盘 上 ， 而 是 将 其 发 送 给 SAN 网 络 ， 如 果 光 纤 通 道 交换 
机 存储 在 适当 的 存储 设备 上 ， 这 些 文件 可 以 自动 地 转发 到 其 他 存储 设备 上 ， 以 实现 数据 镜像 和 
系统 容 灾 。 


图 11-76 SAN 拓扑 结构 
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网 络 规划 和 设计 是 根据 网 络 建设 的 目标 进行 需求 分 析 ， 设 计 网 络 的 逻辑 结构 和 物理 结构 ， 
为 网 络 工程 的 安装 和 配置 准备 各 种 技术 文档 。 网 络 规划 和 设计 过 程 是 一 个 迭代 和 优化 的 过 程 ， 
在 网 络 的 生命 周期 中 这 个 过 程 重 复 多 次 ， 使 得 建成 的 网 络 能 够 适应 技术 的 发 展 和 应 用 的 变化 ， 
为 用 户 提供 一 个 高 效 适用 的 网 络 计算 平台 。 本 章 重点 讲述 网 络 分 析 和 设计 过 程 ， 并 且 介绍 了 结 
构 化 综合 布线 系统 和 网 络 故 障 诊断 方法 ， 最 后 给 出 了 网 络 部 署 和 配置 的 实例 。 


12.1 结构 化 布线 系统 


结构 化 综合 布线 系统 (Structure Cabling System) 是 基于 现代 计算 机 技术 的 通信 物理 平台 ， 
集成 了 语音 、 数 据 、 图 像 和 视频 的 传输 功能 ， 消 除了 原 有 通信 线路 在 传输 介质 上 的 差别 。 结 构 
化 综合 布线 系统 包括 建筑 物 综合 布线 系统 (Premises Distribution System，PDS)、 智 能 大 厦 布 线 
系统 (Intelligent Building System，IBS) 和 工业 布线 系统 (Industry Distribution System，IDS)。 
这 里 要 讲 的 是 建筑 物 综合 布线 系统 PDS， 这 是 一 种 能 支持 话音 和 数据 通信 、 支 持 安全 监控 和 传 
感 器 信号 传输 、 支 持 多 媒体 和 高 速 网 络 应 用 的 电信 系统 ， 通 过 一 次 性 布线 提供 各 种 通信 线路 ， 
并 且 可 以 根据 应 用 需求 变化 和 技术 发 展 趋势 进行 扩充 ， 是 一 种 技术 先进 、 具 有 长 远 效 益 的 解决 
方案 。 

结构 化 综合 布线 系统 应 满足 下 列 要求 。 

。 ”标准 化 : 采用 国际 、 国 家 规范 和 标准 来 设计 、 施 工 和 测试 系统 ， 采 用 符合 国际 和 国家 

标准 、 得 到 国际 权威 机 构 认 证 的 产品 。 
。 ”实用 性 : 针对 实际 应 用 的 需要 和 特点 来 建设 系统 ， 保 证 系统 能 满足 现在 和 将 来 应 用 的 


。 ”先进 性 : 采用 国际 最 新 技术 ,系统 设计 应 具有 一 定 的 超前 意识 , 保证 在 5 至 10 年 内 技 
术 上 不 落后 。 

。 放 性 : 充分 考虑 整个 系统 的 开放 性 ， 系 统 要 兼容 不 同类 型 的 信号 ， 适 应 各 种 网 络 拓 
扑 结构 和 各 种 应 用 的 要 求 。 

。 ”结构 化 、 层 次 化 : 易于 管理 和 维护 系统 ,应 具有 充足 的 扩展 余地 ， 具 有 一 定 的 灵活 性 、 
较 强 的 可 靠 性 和 容错 性 。 


结构 化 布线 系统 分 为 6 个 子 系统 : 工作 区 子 系统 、 水 平 布线 子 系统 、 干 线 子 系统 、 设 备 间 
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子 系统 、 管 理子 系统 和 建筑 群 子 系统 ， 


如 图 12-1 所 示 。 


图 12-1 结构 化 布线 示意 图 


1. 工作 区 子 系统 (Work Location) 


工作 区 子 系统 是 由 终端 设备 到 信息 插座 的 整个 区 域 。 一 个 独立 的 需要 安装 终端 设备 的 区 域 
划分 为 一 个 工作 区 。 工 作 区 应 支持 电话 、 数 据 终端 、 计 算 机 、 电 视 机 、 监 视 器 以 及 传感器 等 多 


种 终端 设备 。 


信息 插座 的 类 型 应 根据 终端 设备 的 种 类 而 定 。 信 息 插 座 的 安装 分 为 嵌入 式 ( 新 建筑 物 ) 和 
表面 安装 ( 老 建筑 物 ) 两 种 方式 , 信息 插座 通常 安装 在 工作 间 四 周 的 墙壁 下 方 , 距离 地 面 30cm， 
也 有 的 安装 在 用 户 办 公 桌 上 。 通 常 一 个 信息 插座 需要 9n 的 空间 。 


2. 水 平 布线 子 系统 〈Horizontal) 


各 个 楼 层 接线 间 的 配 线 架 到 工作 


区 信息 插座 之 间 亡 安装 的 线 缆 属 于 水 平 布线 子 系统 。 水 了 


I 


布线 子 系统 的 作用 是 将 干线 子 系统 线路 延伸 到 用 户 工作 区 。 在 进行 水 平 布线 时 ， 传 输 介 质 中 间 
不 宜 有 转折 点 ， 两 端 应 直接 从 配 线 架 连接 到 工作 区 的 信息 插座 。 水 平 布线 的 布线 通道 有 两 种 ; 
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一 种 是 暗 管 预 埋 、 南 面 引线 方式 ， 另 一 种 是 地 下 管 槽 、 地 面 引线 方式 。 前 者 适用 于 多 数 建筑 系 
统 ， 一 旦 铺设 完成 ， 不 易 更 改 和 维护 ， 后 者 适合 于 少 墙 多 柱 的 环境 ， 更 改 和 维护 方便 。 


3. 管理 子 系统 (Administration ) 


管理 子 系统 设置 在 楼 层 的 接线 间 内 ， 由 各 种 交 连 设备 〈 双 绞 线 跳 线 架 、 光 纤 跳 线 架 ) 以 及 
集线器 和 交换 机 等 交换 设备 组 成 ， 交 连 方式 取决 于 网 络 拓扑 结构 和 工作 区 设备 的 要 求 。 交 连 设 
备 通过 水 平 布线 子 系统 连接 到 各 个 工作 区 的 信息 插座 ， 集 线 器 或 交换 机 与 交 连 设备 之 间 通过 短 
线 费 互 连 ， 这 些 短线 被 称 为 跳 线 。 通 过 跳 线 的 调整 ， 可 以 对 工作 区 的 信息 插座 和 交换 机 端口 之 
间 进 行 连接 切换 。 

高 层 大 楼 采用 多 点 管理 方式 ， 每 一 楼 层 要 有 一 个 配 线 间 ， 用 于 放置 交换 机 、 集 线 器 以 及 配 
线 架 等 设备 。 如 果 楼 层 较 少 ， 宣 采用 单 点 管理 方式 ， 管 理 点 就 设 在 大 楼 的 设备 间 内 。 


4. 干线 子 系统 (Backbone) 


干线 子 系统 是 建筑 物 的 主干 线 绕 ， 实 现 各 楼 层 设备 间 子 系统 之 间 的 互 连 。 干线 子 系统 通常 
由 垂直 的 大 对 数 铜 线 或 光缆 组 成 ， 一 头 端 接 于 设备 间 的 主 配 线 架 上 ， 另 一 头 端 接 在 楼 层 接 线 间 
的 管理 配 线 架 上 。 

主干 子 系统 在 设计 时 ， 对 于 旧 建 筑 物 ， 主 要 采用 楼 层 牵 引 管 方式 铺设 ， 对 于 新 建筑 物 ， 则 
利用 建筑 物 的 线 井 进行 铺设 。 

S. 设备 间 子 系统 (Equipment) 

建筑 物 的 设备 间 是 网 络 管理 人 员 值 班 的 场所 , 设备 间 子 系统 由 建筑 物 的 进 户 线 、 交 换 设备 、 
电话 、 计 算 机 、 适 配器 以 及 保安 设施 组 成 ， 实 现 中 央 主 配 线 架 与 各 种 不 同 设备 (如 PBX、 网 络 
设备 和 监控 设备 等 ) 之 间 的 连接 。 

在 选择 设备 间 的 位 置 时 ， 要 考虑 连接 方便 性 ， 要 考虑 安装 与 维护 的 方便 ， 设 备 间 通 常 选择 
在 建筑 物 的 中 间 楼 层 。 设备 间 要 有 防 雷 击 、 防 过 压 过 流 的 保护 设备 , 通常 还 要 配备 不 间断 电源 。 

6. 建筑 群 子 系统 《Campus) 


建筑 群 子 系统 也 叫 园 区 子 系统 ， 它 是 连接 各 个 建筑 物 的 通信 系统 。 大 楼 之 间 的 布线 方法 有 
3 种 , 一 种 是 地 下 管道 敷设 方式 , 管道 内 敷设 的 铜 绕 或 光缆 应 遵循 电话 管道 和 入 孔 的 各 种 规定 ， 
安装 时 至 少 应 预 留 一 到 两 个 备用 管 孔 ， 以 备 扩充 之 用 。 第 二 种 是 直 埋 法 ， 要 在 同一 个 沟 内 埋 入 
通信 和 监控 电线， 并 应 设立 明显 的 地 面 标志 。 最 后 一 种 是 架空 明 线 ， 这 种 方法 需要 经 常 维护 。 

在 进行 结构 化 布线 系统 设计 时 , 要 注意 线 线 长 度 的 限制 , 表 12-1 是 EIA/TIA-568 标准 提出 
的 布线 距离 最 大 值 。 
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表 12-1 布线 距离 
子 系统 光纤 (m) 屏蔽 双 绞 线 (m) 无 屏蔽 双 绞 线 (m) 
建筑 群 〈 楼 栋 间 ) 2000 800 700 
主干 (设备 间 到 配 线 间 ) 2000 800 700 
配 线 间 到 工作 区 信息 插座 90 


信息 插座 到 网 卡 


12.2 网络 分 析 与 设计 过 程 


12.2.1 网 络 系统 生命 周期 


一 个 网 络 系统 从 构思 开始 ， 到 最 后 被 淘汰 的 过 程 称 为 网 络 生命 周期 。 一 般 来 说 ， 网 络 生命 
周期 至 少 应 包括 网 络 系统 的 构思 和 计划 、 分 析 和 设计 、 运 行 和 维护 的 过 程 。 网 络 系统 的 生命 周 
期 与 软件 工程 中 的 软件 生命 周期 非常 类 似 ， 首 先 它 是 一 个 循环 欠 代 的 过 程 ， 每 次 循环 友 代 的 动 
力 都 来 自 于 网 络 应 用 需求 的 变更 。 其 次 ， 每 次 循环 过 程 中 都 存在 需求 分 析 、 规 划 设 计 、 实 施 调 
试 和 运营 维护 等 多 个 阶段 。 有 些 网 络 仅仅 经 过 一 个 周期 就 被 淘汰 ， 而 有 些 网 络 在 存活 过 程 中 经 
过 多 次 循环 周期 ， 一 般 来 说 ， 网 络 规模 越 大 、 投 资 越 多 ， 则 可 能 经 历 的 循环 周期 也 越 长 。 

常见 的 迭代 周期 构成 方式 主要 有 以 下 3 种 。 


1. 四 阶段 周期 


四 阶段 周期 能 够 快速 适应 新 的 需求 变化 ， 强 调 网 络 建设 周期 中 的 宏观 管理 ，4 个 阶段 的 划 
分 如 图 12-2 所 示 。 


时 间 轴 
> 


图 12-2 ”四 阶段 周期 


4 个 阶段 分 别 为 构思 与 规划 阶段 、 分 析 与 设计 阶段 、 实 施 与 构建 阶段 和 运行 与 维护 阶段 ， 
这 4 个 阶段 之 间 有 一 定 的 重 登 ， 保 证 了 两 个 阶段 之 间 的 交接 工作 。 
构思 与 规划 阶段 的 主要 工作 是 明确 网 络 设计 的 需求 ， 同 时 确定 新 网 络 的 建设 目标 。 分 析 与 
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作 则 是 根据 设计 方案 进行 设备 购置 、 安 装 、 调 试 ， 建 成 可 试用 的 网 络 环境 。 运 行 维护 阶段 提供 
网 络 服务 ， 并 实施 网 络 管理 。 

四 阶段 周期 的 长 处 在 于 工作 成 本 较 低 、 灵 活性 好 ， 适 用 于 网 络 规模 较 小 、 需 求 较为 明确 、 
网 络 结构 简单 的 工程 项 目 。 


2. 五 阶段 周期 


设计 阶段 的 工作 在 于 根据 网 络 的 需求 进行 设计 ， 并 形成 特定 的 设计 方案 。 实 施 与 构建 阶段 的 工 


五 阶段 周期 是 较为 常见 的 迭代 周期 划分 方式 ， 将 一 次 迭代 划分 为 5 个 阶段 。 

(1) 需求 规范 。 

(2) 通信 规范 。 

(3) 逻辑 网 络 设计 。 

(4) 物理 网 络 设 计 。 

(5) 实施 阶段 。 

在 5 个 阶段 中 , 由 于 每 个 阶段 都 是 一 个 工作 环节 , 每 个 环节 完毕 后 才能 进入 到 下 一 个 环节 ， 
类 似 于 软件 工程 中 的 “瀑布 模型 ”， 形 成 了 特定 的 工作 流程 ， 如 图 12-3 所 示 。 


逻辑 网 络 设计 
TD 


图 12-3 五 阶段 周期 


按照 这 种 流程 构建 网 络 , 在 下 一 个 阶段 开始 之 前 , 前 一 阶段 的 工作 已 经 完成 。 一 般 情况 下 ， 
不 允许 返回 到 前 面 的 阶段 ， 如 果 出 现 前 一 阶段 的 工作 没有 完成 就 开始 进入 下 一 个 阶段 ， 则 会 对 
后 续 的 工作 造成 较 大 的 影响 ， 甚 至 引起 工期 拖 后 和 成 本 超支 。 

这 种 方法 的 主要 优势 在 于 所 有 的 计划 在 较 早 的 阶段 完成 ， 系 统 负责 人 对 系统 的 具体 情况 以 
及 工作 进度 都 非常 清楚 ， 更 容易 协调 工作 。 

五 阶段 周期 的 缺点 是 比较 死板 ， 不 灵活 。 因 为 往往 在 项 目 完成 之 前 ， 用 户 的 需求 经 常会 发 
生变 化 ， 这 使 得 已 开发 的 部 分 需要 经 常 修 改 ， 从 而 影响 工作 的 进程 。 所 以 ， 基 于 这 种 流程 完成 
网 络 设计 时 ， 用 户 的 需求 确认 工作 非常 重要 。 

五 阶段 周期 由 于 存在 较为 严格 的 需求 和 通信 分 析 规范 , 并 且 在 设计 过 程 中 充分 考虑 了 网 络 
的 逻辑 特性 和 物理 特性 ， 因 此 较为 严谨 ， 适 用 于 网 络 规模 较 大 、 需 求 较为 明确 、 需 求 变更 较 小 
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的 网 络 工程 。 
3. 六 阶段 周期 


六 阶段 周期 是 对 五 阶段 周期 的 补充 ， 是 对 其 缺乏 灵活 性 缺陷 的 改进 ， 通 过 在 实施 阶段 前 后 
增加 相应 的 测试 和 优化 过 程 来 提高 网 络 建设 工程 中 对 需求 变更 的 适应 性 。 
6 个 阶段 分 别 由 需求 分 析 、 逻 辑 设 计 、 物 理 设 计 、 设 计 优化 、 实 施 及 测试 、 监 测 及 性 能 优 


化 组 成 ， 如 图 12-4 所 示 。 
2 


监测 及 性 


图 12-4 六 阶段 周期 


在 需求 分 析 阶 段 ， 网 络 分 析 人 员 通 过 与 用 户 进行 交流 来 确定 新 系统 〈 或 升级 系统 ) 的 商业 
目标 和 技术 目标 ， 然 后 归纳 出 当前 网 络 的 特征 ， 分 析 当 前 和 将 来 的 网 络 通信 量 、 网 络 性 能 、 协 
议 行为 和 服务 质量 要 求 。 

逻辑 设计 阶段 主要 完成 网 络 的 拓扑 结构 、 网 络 地 址 分 配 、 设 备 命名 规则 、 交 换 及 路 由 协议 
选择 、 安 全 规划 、 网 络 管理 等 设计 工作 ， 并 且 根 据 这 些 设计 选择 设备 和 服务 供应 商 。 

物理 设计 阶段 是 根据 逻辑 设计 的 结果 选择 具体 的 技术 和 产品 ， 使 得 多 辑 设计 成 果 符合 工程 
设计 规范 的 要 求 。 

设计 优化 阶段 完成 工程 实施 前 的 方案 优化 ， 通 过 召开 专家 研讨 会 、 搭 建 试验 平台 、 网 络 仿 
真 等 多 种 形式 找 出 设计 方案 中 的 缺陷 ， 并 进一步 优化 。 

实施 及 测试 阶段 根据 优化 后 的 方案 购置 设备 ， 进 行 安装 、 调 试 与 测试 工作 ， 通 过 测试 和 试 
用 发 现 网 络 环境 与 设计 方案 的 偏差 ， 纠 正 其 中 的 错误 ， 并 修改 网 络 设计 方案 。 

监测 及 性 能 优化 阶段 是 网 络 的 运营 和 维护 阶段 。 通 过 网 络 管理 、 安 全 管理 等 技术 手段 ， 对 
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网 络 是 否 正常 运行 进行 实时 监控 ， 如 果 发 现 问题 ， 则 通过 优化 网 络 设备 配置 参数 来 达到 优化 网 
络 性 能 的 目的 。 如 果 发 现 网 络 性 能 无 法 满足 用 户 的 需求 ， 则 进入 下 一 迭代 周期 。 

六 阶段 周期 偏重 于 网 络 的 测试 和 优化 ， 侧 重 于 网 络 需求 的 不 断 变更 ， 由 于 其 严格 的 逻辑 设 
计 和 物理 设计 规范 ， 使 得 这 种 模式 适合 于 大 型 网 络 的 建设 工作 。 


12.2.2 ”网 络 开发 过 程 


网 络 开发 过 程 描述 了 开发 网 络 时 必须 完成 的 基本 任务 ， 而 网 络 生命 周期 为 描绘 网 络 项 目的 
开发 提供 了 特定 的 理论 模型 ， 因 此 网 络 开 发 过 程 是 指 一 次 迭代 过 程 。 

一 个 网 络 工程 项 目 从 构思 到 最 终 退 出 应 用 ， 一 般 会 遵循 迭代 模型 ， 经 历 多 个 迭代 周期 。 每 
个 周期 的 各 种 工作 可 根据 新 网 络 的 规模 采用 不 同 的 迭代 周期 模型 。 例 如 在 网 络 建设 初期 ， 由 于 
网 络 规模 比较 小 ， 因 此 第 一 次 迭代 周期 的 开发 工作 应 采用 四 阶段 模式 。 随 着 应 用 的 发 展 ， 需 要 
基于 初期 建成 的 网 络 进行 全 面 的 网 络 升级 ， 可 以 在 第 二 次 迭代 周期 中 采用 五 阶段 或 六 阶段 的 
模式 。 

由 于 中 等 规模 的 网 络 较 多 ， 并 且 应 用 范围 较 广 ， 下 面 主要 介绍 五 阶段 迭代 周期 模型 。 这 种 
模型 也 部 分 适用 于 要 求 比较 单纯 的 大 型 网 络 ， 而 且 采 用 六 阶段 周期 时 也 必须 完成 五 阶段 周期 中 
要 求 的 各 项 工作 。 

将 大 型 问题 分 解 为 多 个 小 型 可 解 的 简单 问题 ， 这 是 解决 复杂 问题 的 常用 方法 。 根 据 五 阶段 
迭代 周期 的 模型 ， 网 络 开发 过 程 可 以 被 划分 为 以 下 5 个 阶段 。 

。 需求 分 析 。 

。 现 有 的 网 络 体系 分 析 ， 即 通信 规范 分 析 。 

。 确定 网 络 逻辑 结构 ， 即 逻辑 网 络 设计 。 

。 ”确定 网 络 物理 结构 ， 即 物理 网 络 设计 。 

。 ”安装 和 维护 。 

因此 ， 网 络 工 程 被 分 解 成 为 多 个 容易 理解 、 容 易 处 理 的 部 分 ， 每 个 部 分 的 工作 构成 一 个 阶 
段 ， 各 个 阶段 的 工作 成 果 都 将 直接 影响 到 下 一 阶段 的 工作 开展 ， 这 就 是 五 阶段 周期 被 称 为 流水 
线 的 真正 含义 。 

在 这 5 个 阶段 中 ， 每 个 阶段 都 必须 依据 上 一 阶段 的 成 果 完 成 本 阶段 的 工作 ， 并 形成 本 阶段 
的 工作 成 果 ， 作 为 下 一 阶段 的 工作 依据 。 这 些 阶 段 成 果 分 别 为 需求 规范 、 通 信 规 范 、 罗 辑 网 络 
设计 和 物理 网 络 设计 文档 。 在 大 多 数 网 络 工程 中 ， 网 络 开发 过 程 可 以 用 图 12-5 来 描述 。 

下 面 详细 介绍 网 络 开 发 过 程 的 各 个 阶段 ， 只 有 理解 了 开发 网 络 项 目的 各 个 阶段 ， 才 可 以 在 
实际 开发 过 程 中 灵活 运用 。 
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| 
需求 分 析 通信 规范 分 析 | | [逻辑 网 络 设计 | | [物理 网 络 设计 安装 和 维护 
确定 需求 ， 包 括 : 
。 商 业 
。 用户 估计 和 测量 > ee 人 
。 应 用 通信 量 及 设备 | | | 选择 符合 需求 | | | 将 逻辑 设计 应 | | | 实现 物理 网 


“计算 机 平台 利用 尝 的 设计 用 到 物理 空间 | | | 络 设计 


。 网 络 
逻辑 网 物理 网 
络 设计 络 设计 
图 12-5 五 阶段 网 络 开发 过 程 
1. 需求 分 析 


需求 分 析 是 开发 过 程 中 最 关键 的 阶段 ， 所 有 工程 设计 人 员 都 清楚 ， 如 果 在 需求 分 析 阶 段 没 
有 明确 需求 ， 则 会 导致 以 后 各 阶段 的 工作 严重 受阻 。 在 需求 阶段 需要 克服 需求 收集 的 困难 ， 很 
多 时 候 用 户 不 清楚 具体 需求 是 什么 ， 或 者 需求 渐渐 增加 而 且 经 常 发 生变 化 ， 需 求 调研 人 员 必 须 
采用 多 种 方式 与 用 户 交流 才能 挖掘 出 网 络 工程 的 全 面 需求 。 

收集 需求 信息 要 和 不 同 的 用 户 〈 包 括 经 理 人 员 和 网 络 管理 员 ) 进行 交流 ， 要 把 交流 所 得 信 
息 进 行 归纳 解释 、 去 伪 存 真 。 在 这 个 过 程 中 ， 很 容易 出 现 不 同 用户 群 体 之 间 的 需求 是 矛盾 的 ， 
特别 是 网 络 用 户 和 网 络 管理 员 之 间 会 出 现 分 歧 。 网 络 用户 总 是 希望 能 够 更 多 、 更 方便 地 享用 网 
络 资源 ， 而 网 络 管理 员 更 希望 网 络 稳定 和 易于 管理 。 网 络 设计 人 员 要 在 设计 工作 中 根据 工程 经 
验 均衡 考虑 各 方 利益 ， 这 样 才能 保证 最 终 的 网 络 是 可 用 的 。 

收集 需求 信息 是 一 项 费时 的 工作 ， 也 不 可 能 很 快 产生 非常 明确 的 需求 ， 但 是 可 以 明确 需求 
变化 的 范围 ， 通 过 网 络 设计 的 伸缩 性 保证 网 络 工 程 满足 用 户 的 需求 变化 。 需 求 分 析 有 助 于 设计 
者 更 好 地 理解 网 络 应 该 具有 什么 样 的 功能 和 性 能 ， 最 终 设计 出 符合 用 户 需 求 的 网 络 。 

不 同 的 用 户 有 不 同 的 网 络 需求 ， 收 集 的 需求 范围 如 下 。 

(1) 业务 需求 。 

(2) 用 户 需求 。 

(3) 应 用 需求 。 

(4) 计算 机 平台 需求 。 

(5) 网 络 通信 需求 。 

详细 的 需求 描述 使 得 最 终 的 网 络 更 有 可 能 满足 用 户 的 要 求 。 需 求 收集 过 程 必须 同时 考虑 现 
在 和 将 来 的 需要 ， 如 不 适当 考虑 将 来 的 发 展 ， 以 后 将 会 很 难 实现 对 网 络 的 扩展 。 
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需求 分 析 的 输出 是 产生 一 份 需求 说 明 书 ， 也 就 是 需求 规范 。 网 络 设计 者 必须 把 需求 记录 在 
需求 说 明 书 中 ， 清 楚 而 细致 地 总 结 单位 和 个 人 的 需要 意愿 。 在 写 完 需求 说 明 书 后 ， 管 理 者 与 网 
络 设计 者 应 该 达成 共识 ， 并 在 文件 上 签字 ， 这 是 规避 网 络 建设 风险 的 关键 。 这 时 需求 说 明 书 就 
成 为 开发 小 组 和 业主 之 间 的 协议 ， 也 就 是 说 ， 业 主 认可 文件 中 对 他 们 所 要 的 系统 的 描述 ， 网 络 
开发 者 同意 提供 这 样 的 系统 。 

在 形成 需求 说 明 书 的 同时 ， 网 络 工程 设计 人 员 还 必须 与 网 络 管理 部 门 就 需求 的 变化 建立 起 
需求 变更 机 制 ， 明 确 允 许 的 变更 范围 。 这 些 内 容 正 式 通过 后 ， 开 发 过 程 就 可 以 进入 下 一 个 阶 
段 了 。 


2. 现 有 网 络 系统 的 分 析 


如 果 当 前 的 网 络 开发 过 程 是 对 现 有 网 络 的 升级 和 改造 ， 必 须 进 行 现 有 网 络 系统 的 分 析 工 
作 。 现 有 网 络 系统 分 析 的 目的 是 描述 资源 分 布 ， 以 便于 在 升级 时 尽量 保护 已 有 的 投资 。 

升级 后 的 网 络 效率 和 当前 网 络 中 的 各 类 资源 是 否 满足 新 的 需求 是 相关 的 。 如 果 现 有 的 网 络 
设备 不 能 满足 新 的 需求 ， 就 必须 淘汰 旧 的 设备 ， 购 置 新 设备 。 在 写 完 需求 说 明 书 之 后 ， 设 计 过 
程 开 始 之 前 ， 必 须 彻 底 分 析 现 有 网 络 的 各 类 资源 。 

在 这 一 阶段 ， 应 给 出 一 份 正式 的 通信 规范 说 明文 档 作为 下 一 个 阶段 的 输入 。 网 络 分 析 阶 段 
应 该 提供 的 通信 规范 说 明文 档 包 含 下 列 内 容 。 

(1) 现 有 网 络 的 拓扑 结构 图 。 

(2) 现 有 网 络 的 容量 ， 以 及 新 网 络 所 需 的 通信 量 和 通信 模式 。 

(3) 详细 的 统计 数据 ， 直 接 反映 现 有 网 络 性 能 的 测量 值 。 

(4) Intemet 接口 和 广域网 提供 的 服务 质量 报告 。 

(5) 限制 因素 列表 ， 例 如 使 用 线 缆 和 设备 清单 等 。 


3. 确定 网 络 逻辑 结构 


网 络 逻 辑 结构 设计 是 体现 网 络 设计 核心 思想 的 关键 阶段 ， 在 这 一 阶段 根据 需求 规范 和 通信 
规范 选择 一 种 比较 适宜 的 网 络 逻辑 结构 ， 并 实施 后 续 的 资源 分 配 规划 、 安 全 规划 等 内 容 。 

网 络 逻 辑 结构 要 根据 用 户 需 求 中 描述 的 网 络 功能 、 性 能 等 要 求 来 设计 ， 风 辑 设计 要 根据 网 
络 用 户 的 分 类 和 分 布 形 成 特定 的 网 络 结构 。 网 络 逻 辑 结 构 大 致 描述 了 设备 的 互联 及 分 布 范 围 
但 是 不 确定 具体 的 物理 位 置 和 运行 环境 。 

一 个 具体 的 网 络 设备 ， 在 不 同 的 协议 层次 上 其 连接 关系 是 不 同 的 ， 在 网 络 层 和 数据 链 路 层 
尤其 如 此 。 在 逻辑 网 络 设计 阶段 ， 一 般 更 关注 于 网 络 层 的 连接 图 ， 因 为 这 涉及 网 络 互联 、 地 址 
分 配 和 网 络 层 流量 等 关键 因素 。 

网 络 设计 者 利用 需求 分 析 和 现 有 网 络 体系 分 析 的 结果 来 设计 逻辑 网 络 结构 。 如 果 现 有 的 
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软件 、 便 件 不 能 满足 新 网 络 的 需求 ， 现 有 系统 就 必须 升级 。 如 果 现 有 系统 能 够 继续 使 用 ， 可 以 
将 它们 集成 到 新 设计 中 来 。 如 果 不 集成 旧 系统 ， 网 络 设计 小 组 可 以 找 一 个 新 系统 ， 对 它 进行 测 
试 ， 确 定 是 否 符合 用 户 的 需求 。 

这 个 阶段 最 后 应 该 得 到 一 份 逻辑 设计 文档 ， 输 出 的 内 容 包括 以 下 几 点 。 

(1) 网 络 逻辑 设计 图 。 

(2) 人 P 地 址 分 配方 案 。 

(3) 安全 管理 方案 。 

(4) 具体 的 软 / 硬 件 、 广 域 网 连接 设备 和 基本 的 网 络 服务 。 

(5) 招聘 和 培训 网 络 员工 的 具体 说 明 。 

(6) 对 软 /硬件 费用 、 服 务 提供 费用 以 及 员工 和 培训 费用 的 初步 估计 。 


4. 确定 网 络 物理 结构 


物理 网 络 设计 是 逻辑 网 络 设计 的 具体 实现 ， 通 过 对 设备 的 具体 物理 分 布 、 运 行 环境 等 的 确 
定 来 确保 网 络 的 物理 连接 符合 罗 辑 设计 的 要 求 。 在 这 一 阶段 ， 网 络 设计 者 需要 确定 具体 的 软 / 
硬件 、 连 接 设备 、 布 线 和 服务 的 部 署 方案 。 

网 络 物理 结构 设计 文档 必须 尽 可 能 详细 、 清 晰 ， 输 出 的 内 容 如 下 。 

(1) 网 络 物理 结构 图 和 布线 方案 。 

(2) 设备 和 部 件 的 详细 列表 清单 。 

(3) 软 /硬件 和 安装 费用 的 估算 。 

(4) 安装 日 程 表 ， 详 细 说 明 服 务 的 时 间 以 及 期 限 。 

(5) 安装 后 的 测试 计划 。 

(6) 用 户 的 培训 计划 。 

5. 安装 和 维护 


第 5 个 阶段 可 以 分 为 两 个 小 阶段 ， 分 别 是 安装 和 维护 。 

(1) 安装 。 这 是 根据 前 面 的 工程 成 果实 施 环境 准备 、 设 备 安装 调试 的 过 程 。 安 装 阶段 的 主 
要 输出 就 是 网 络 本 身 。 安 装 阶段 应 该 产生 的 输出 如 下 。 

。 ”逻辑 网 络 结构 图 和 物理 网 络 部 署 图 ， 以 便于 管理 人 员 快 速 了 解 和 掌握 网 络 的 结构 。 

。 符合 规范 的 设备 连接 图 和 布线 图 ， 同 时 包括 线 缆 、 连 接 器 和 设备 的 规范 标识 。 

。 运营 维护 记录 和 文档 ， 包 括 测试 结果 和 数据 流量 记录 。 

在 安装 开始 之 前 ， 所 有 的 软 /硬件 资源 必须 准备 完毕 ， 并 通过 测试 。 在 网 络 投入 运营 之 前 
必须 准备 好 人 员 、 培 训 、 服 务 和 协议 等 资源 。 

(2) 维护 。 网络 安装 完成 后 ， 接 受用 户 的 反馈 意见 和 监控 网 络 的 运行 是 网 络 管理 员 的 任务 。 
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网 络 投入 运行 后 ， 需 要 做 大 量 的 故障 监测 和 故障 恢复 ， 以 及 网 络 升 级 和 性 能 优化 等 维护 工作 。 
网 络 维护 也 是 网 络 产品 的 售后 服务 工作 。 


12.2.3 网络 设 计 的 约束 因素 


网 络 设计 的 约束 因素 是 网 络 设计 工作 必须 遵循 的 一 些 附加 条 件 ， 一 个 网 络 设计 如 果 不 满足 
约束 条 件 ， 将 导致 该 网 络 设计 方案 无 法 实施 。 所 以 在 需求 分 析 阶 段 ， 确 定 用 户 需求 的 同时 也 应 
该 明确 可 能 出 现 的 约束 条 件 。 一 般 来 说 ， 网 络 设 计 的 约束 因素 主要 来 自 于 政策 、 预 算 、 时 间 和 
应 用 目标 等 方面 。 


1. 政策 约束 


了 解 政策 约束 的 目的 是 为 了 发 现 可 能 导致 项 目 失败 的 事务 安排 ， 以 及 利益 关系 或 历史 因素 
导致 的 对 网 络 建设 目标 的 争论 意见 。 政 策 约束 的 来 源 包括 法 律 、 法 规 、 行 业 规定 、 业 务 规范 和 
技术 规范 等 。 政 策 约束 的 具体 表现 是 法 律 法 规 条 文 ， 以 及 国际 、 国 家 和 行业 标准 等 。 

在 网 络 开发 过 程 中 ， 设 计 人 员 需 要 与 客户 就 协议 、 标 准 、 供 应 商 等 方面 的 政策 进行 讨论 ， 
弄 清楚 客户 在 信息 传输 、 路 由 选择 、 工 作 平 台 或 其 他 方面 是 否 已 经 制定 了 标准 ， 是 否 有 关于 开 
发 和 专 有 解决 方案 的 规定 ， 是 否 有 认可 供应 商 或 平台 方面 的 规定 ， 是 否 允 许 不 同 厂商 之 间 的 竞 
争 等 。 在 明确 了 这 些 政 策 约束 后 ， 才 能 开展 后 期 的 设计 工作 ， 以 免 出 现 设 计 失败 或 重复 设计 的 
现象 。 


2. 预算 约束 


预算 是 决定 网 络 设计 的 关键 因素 ， 很 多 满足 用 户 需 求 的 优良 设计 因为 突破 了 用 户 的 基本 预 
算 而 不 能 实施 。 如 果 用 户 的 预算 是 弹性 的 ， 那 就 意味 着 赋予 了 设计 人 员 更 多 的 空间 ， 设 计 人 员 
可 以 从 用 户 满意 度 、 可 扩展 性 和 易 维 护 性 等 多 个 角度 对 设计 进行 优化 。 但 是 大 多 数 情况 下 ， 设 
计 人 员 面 对 的 是 刚性 的 预算 ， 预 算 可 调整 的 幅度 非常 小 。 在 刚性 预算 下 实现 满意 度 、 可 扩展 性 、 
易 维护 性 是 需要 大 量 工程 设计 经 验 的 。 

对 于 预算 不 能 满足 用 户 需 求 的 情况 ， 放 弃 网 络 设计 工作 并 不 是 积极 的 态度 ， 正 确 的 做 法 是 
在 统筹 规划 的 基础 上 将 网 络 建设 工作 划分 为 多 个 迭代 周期 ， 同 时 将 网 络 建设 目标 分 解 为 多 个 阶 
段 性 目标 ， 通 过 阶段 性 目标 的 实现 ， 达 到 最 终 满 足 用 户 全 部 需求 的 目的 ， 当 前 预算 仅 用 于 完成 
当前 迭代 周期 的 建设 目标 。 

网 络 预算 一 般 分 为 一 次 性 投资 预算 和 周期 性 投资 预算 。 一 次 性 投资 预算 主要 用 于 网 络 的 初 
始 建设 ， 包 括 采购 设备 、 购 买 软件 、 维 护 和 测试 系统 、 培 训 工作 人 员 以 及 设计 和 安装 系统 的 费 
用 ， 应 根据 一 次 性 投资 预算 的 多 少 进行 设备 选 型 ， 确 保 网 络 初始 建设 的 可 行 性 。 周 期 性 投资 预 
算 主要 用 于 后 期 的 运营 维护 ， 包 括 人 员 方 面 的 开销 、 设 备 维护 消耗 、 软 件 升级 消耗 、 信 息 费 用 
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以 及 线路 租用 费用 等 。 
3. 时 间 约束 


网 络 设计 的 进度 安排 是 需要 考虑 的 另 一 个 问题 。 项 目 进 度 表 限 定 了 项 目 最 后 的 期 限 和 重要 
的 阶段 。 通 常 ， 项 目 进度 由 客户 负责 管理 ， 但 网 络 设计 者 必须 就 该 日 程 表 是 否 可 行 提出 自己 的 
意见 。 现 在 有 许多 种 开发 进度 表 的 工具 ， 在 全 面 了 解 了 项 目 之 后 ， 网 络 设计 者 要 对 安排 的 计划 
与 进度 表 的 时 间 进行 分 析 ， 对 于 存在 疑问 的 地 方 及 时 与 客户 进行 沟通 。 


4. 应 用 目标 的 检查 和 确认 


在 进行 下 一 阶段 的 任务 之 前 ， 需 要 确定 是 否 了 解 了 客户 的 应 用 目标 和 所 关心 的 事项 。 通 过 
应 用 目标 检查 ， 可 以 避免 用 户 需求 的 缺失 ， 检 查 形式 包括 设计 小 组 内 部 的 自我 检查 和 用 户主 管 
部 门 的 确认 检查 。 


12.3 ”网 络 需求 分 析 


网 络 需求 分 析 是 网 络 开发 过 程 的 起 始 部 分 ,在 这 一 阶段 应 明确 客户 所 需 的 网 络 服务 和 网 络 
性 能 。 这 一 节 介绍 需求 收集 和 分 析 的 过 程 ， 并 描述 编制 需求 说 明 书 的 方法 。 


12.3.1 需求 分 析 的 范围 


在 需求 分 析 过 程 中 ， 需 要 考虑 以 下 几 个 方面 的 需求 。 
。 业务 需求 。 

。 用 户 需求 。 

。 应 用 需求 。 

。 计算 机 平台 需求 。 

。 网 络 需求 。 


1. 业务 需求 


在 整个 网 络 开发 过 程 中 ， 应 尽量 保证 设计 的 网 络 能 够 满足 用 户 业 务 的 需求 。 网 络 系统 是 为 
一 个 集体 提供 服务 的 , 在 这 个 集体 中 存在 着 职能 的 分 工 , 也 存在 着 不 同 的 业务 需求 。 一 般 来 说 ， 
用 户 只 对 自己 分 管 的 业务 需求 很 清楚 ， 对 于 其 他 用 户 的 需求 只 有 侧面 的 了 解 ， 因 此 对 于 集体 内 
的 不 同 用 户 都 需要 收集 特定 的 业务 信息 ， 包 括 以 下 信息 。 

(1) 确定 组 织 机 构 。 业 务 需求 收集 的 第 一 步 是 获取 组 织 机 构图 ， 通 过 组 织 机 构图 了 解 集体 
中 的 岗位 设置 以 及 岗位 职责 。 典 型 的 组 织 机 构图 如 图 12-6 所 示 。 
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图 12-6 ”组织 机 构图 


在 调查 组 织 机 构 的 过 程 中 ， 主 要 与 以 下 两 类 人 员 进 行 重点 沟通 。 

。 ”决策 者 :负责 审批 网 络 设计 方案 或 决定 投资 规模 的 管理 人 员 。 

。 ”信息 提供 者 : 负责 解释 业务 战略 、 长 期 计划 和 其 他 日 常 业务 需求 的 人 员 。 

(2) 确定 关键 时 间 点 。 对 于 大 型 项 目 ， 必 须 制定 严格 的 项 目 实施 计划 ， 确 定 各 阶段 关键 的 
时 间 点 ， 这 些 时 间 点 也 是 重要 的 里 程 碑 。 在 计划 设 定 后 ， 要 形成 项 目 建设 日 程 表 ， 以 后 还 要 进 
一 步 细 化 。 

(3) 确定 网 络 投资 规模 。 对 于 整个 网 络 的 设计 和 实施 ， 费 用 是 一 个 主要 考虑 的 因素 ， 投 资 
规模 将 直接 影响 到 网 络 工程 的 设计 思路 、 采 用 的 技术 路 线 以 及 设备 的 购置 和 服务 水 平 。 

在 进行 投资 预算 时 ， 应 根据 工程 建设 内 容 进行 核算 ， 将 一 次 性 投资 (例如 设备 采购 费用 ) 
和 周期 性 投资 〈 例 如 通信 费用 和 人 工 费 用 ) 都 纳入 考虑 范围 。 在 计算 系统 成 本 时 ， 有 关 网 络 设 
计 、 工 程 实施 和 系统 维护 的 每 一 项 成 本 都 应 该 纳入 考虑 中 。 

(4) 确定 业务 活动 。 在 设计 一 个 网 络 项 目 之 前 ， 应 通过 对 业务 活动 的 了 解 来 明确 网 络 的 需 
求 。 一 般 情 况 下 ， 网 络 工程 对 业务 活动 的 了 解 并 不 需要 非常 细致 ， 主 要 是 通过 对 业务 类 型 的 分 
析 形 成 各 类 业务 的 网 络 需 求 ， 包 括 最 大 用 户 数 、 并 发 用 户 数 、 峰 值 带宽 和 正常 带宽 等 。 

(5) 预测 增长 率 。 预 测 增长 率 是 另 一 类 常规 需求 ， 通 过 对 网 络 发 展 趋势 的 分 析 明 确 网 络 的 
伸缩 性 需求 。 预 测 增长 率 主要 考虑 以 下 方面 的 网 络 发 展 趋 势 。 

。 分 支 机 构 增长 率 。 

。 ”网络 覆盖 区 域 增长 率 。 

。 用 户 增长 率 。 

。 ”应 用 增长 率 。 

。 通信 带宽 增长 率 。 

。 ”存储 信息 量 增长 率 。 

预测 增长 情况 主要 采用 两 种 方法 ， 一 种 是 统计 分 析 法 ， 另 一 种 是 模型 匹配 法 。 统 计 分 析 法 
是 基于 该 网 络 之 前 若干 年 的 统计 数据 形成 不 同方 面 的 发 展 趋势 ， 预 测 未 来 几 年 的 增长 率 。 模 型 
匹配 法 是 根据 不 同 的 行业 、 领 域 建立 各 种 增长 率 的 模型 ， 而 网 络 设计 者 根据 当前 网 络 的 情况 和 
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经 验 选择 模型 ， 对 未 来 几 年 的 增长 率 进 行 预测 。 

(6) 确定 网 络 的 可 靠 性 和 可 用 性 。 网 络 的 可 用 性 和 可 靠 性 需求 是 非常 重要 的 ， 甚 至 这 些 指 
标的 参数 可 能 会 影响 到 网 络 的 设计 思路 和 技术 路 线 。 一 般 来 说 , 不 同 的 行业 拥有 不 同 的 可 用 性 、 
可 靠 性 要 求 ， 网 络 设计 人 员 在 进行 需求 分 析 过 程 中 ， 应 首先 获取 行业 的 网 络 可 靠 性 和 可 用 性 标 
准 ， 并 根据 标准 与 用 户 进行 交流 ， 确 定 特殊 的 要 求 。 有 些 特殊 要 求 甚至 可 能 是 可 用 性 要 达到 
7X24 个 小 时 、 线 路 故障 后 立即 完成 备用 线路 切换 ， 并 不 对 应 用 产生 影响 等 非常 苛刻 的 需求 。 

(7) 确定 Web 站 点 和 Intemet 的 连接 。Web 站 点 可 以 自己 构建 ， 也 可 以 外 包 给 网 络 服务 供 
应 商 。 无 论 采 用 哪 种 方式 ， 一 个 组 织 的 Web 站 点 和 内 部 网 络 一 定 要 反映 其 自身 的 业务 需求 。 只 
有 完全 理解 了 一 个 组 织 的 Intemet 业务 策略 ， 才 可 能 设计 出 具有 可 靠 性 、 可 用 性 和 安全 性 的 
网 络 。 

(8) 确定 网 络 的 安全 性 。 在 网 络 安全 设计 方面 ， 既 不 要 过 分 强调 网 络 的 安全 性 ， 也 不 要 对 
网 络 安全 不 导 一 顾 。 正 确 的 设计 思路 是 调查 用 户 的 信息 分 布 ， 对 信息 进行 分 类 ， 根 据 分 类 信息 
的 涉 密 性 质 、 敏 感 程度 、 传 输 与 存储 方式 、 访 问 控制 要 求 等 进行 安全 设计 ， 确 保 在 网 络 性 能 与 
安全 保密 之 间 取 得 平衡 。 

大 多 数 网 络 用 户 的 信息 是 非 涉 密 的 ， 因 此 提供 普通 的 安全 技术 措施 就 可 以 了 。 对 于 有 特殊 
业务 的 网 络 ， 就 需要 对 职员 进行 严格 的 安全 限制 。 网 络 安全 需求 调查 中 最 关键 的 是 不 能 出 现 网 
络 安全 需求 的 扩大 化 ， 提 倡 适 度 安全 。 

(9) 确定 远程 接 入 方式 。 远 程 访问 是 指 从 因特网 或 者 外 部 网 络 访问 企业 内 部 网 络 ， 当 网 络 
用 户 不 在 企业 网 络 内 部 时 ， 可 以 借助 于 加 密 技术 或 VPN 技术 从 远程 站 点 访问 内 部 网 络 。 通 过 
远程 访问 ， 在 任意 时 间 、 任 意 地 点 都 可 以 访问 组 织 的 网 络 资源 。 在 需求 分 析 阶 段 ， 网 络 设计 者 
要 确定 网 络 是 否 具有 远程 访问 的 功能 ， 或 是 根据 网 络 的 升级 需要 ， 以 后 再 考虑 网 络 的 远程 访问 
功能 。 


2. 用 户 需 求 


(1) 收集 用 户 需 求 。 为 了 设计 出 符合 用 户 需 求 的 网 络 ， 收 集 用 户 需 求 的 过 程 应 从 当前 的 网 
络 用 户 开始 ， 必 须 找 出 用 户 需 要 的 重要 服务 或 功能 。 这 些 服务 可 能 需要 网 络 完成 ， 也 可 能 只 需 
要 本 地 计算 机 完成 。 例 如 ， 有 些 用 户 服务 属于 局 部 应 用 ， 只 需 使 用 用 户 计算 机 和 外 围 设备 ， 而 
有 些 服务 则 需要 通过 网 络 由 工作 组 服务 器 或 大 型 机 提供 。 在 很 多 情况 下 ， 可 通过 其 他 备 选 方案 
来 满足 用 户 需 要 的 各 种 服务 。 

在 收集 用 户 需 求 的 过 程 中 需要 注意 与 用 户 的 交流 ， 网 络 设 计 者 应 将 技术 性 语言 转化 为 普通 
的 交流 性 语言 ， 并 且 将 用 户 描述 的 非 技术 性 需求 转换 为 特定 的 网 络 属性 要 求 。 

(2) 收集 需求 的 机 制 。 收 集 用 户 需求 的 机 制 主要 包括 与 用 户 群 的 交流 、 用 户 服务 和 需求 归 
档 3 个 方面 。 
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@ 与 用 户 群 交流 。 与 用 户 交流 是 指 与 特定 的 个 人 和 群体 进行 交流 。 在 交流 之 前 ， 需 要 先 
确定 这 个 组 织 的 关键 人 员 和 关键 群体 ， 再 实施 交流 。 在 整个 设计 和 实施 阶段 ， 应 始终 保持 与 关 
键 人 员 之 间 的 交流 ， 以 确保 网 络 工程 建设 不 偏离 用 户 需 求 。 

收集 用 户 需求 最 常用 的 方式 如 下 。 

。 ”观察 和 问卷 调查 。 

。 ”集中 访谈 。 

。 ”采访 关键 人 物 。 

@ 用 户 服 务 。 除 了 信息 化 程度 很 高 的 用 户 群 体外 ， 大 多 数 用 户 都 不 可 能 用 计算 机 的 行业 
术语 来 配合 设计 人 员 的 用 户 需 求 收集 。 设 计 人 员 不 仅 要 将 问题 转化 成 为 普通 的 业务 语言 ， 还 应 
从 用 户 反 馈 的 业务 语言 中 提炼 出 技术 内 容 ， 这 需要 设计 人 员 有 大 量 的 工程 经 验 和 需求 调查 
经 验 。 

@ 需求 归档 机 制 。 与 其 他 所 有 技术 性 工作 一 样 ， 必 须 将 网 络 分 析 和 设计 的 过 程 记录 下 来 。 
需求 文档 便于 保存 和 交流 ， 也 有 利于 以 后 说 明 需 求 和 网 络 性 能 的 对 应 关系 。 所 有 的 访谈 、 调 查 
问卷 等 最 好 能 由 用 户 代表 进行 签字 确认 ， 同 时 应 根据 这 些 原始 资料 整理 出 规范 的 需求 文档 。 

(3) 用 户 服务 表 。 用 户 服务 表 用 于 表示 收集 和 归档 的 需求 信息 ， 也 用 来 指导 管理 人 员 与 网 
络 用 户 进行 讨论 。 用 户 服务 表 是 需求 服务 人 员 自 行使 用 的 表格 ， 不 面向 用 户 ， 类 似 于 备忘录 ， 
在 收集 用 户 需 求 时 ， 应 利用 用 户 服务 表 随 时 纠正 信息 收集 工作 的 失误 和 偏差 。 用 户 服务 表 没 有 
固定 的 格式 ， 表 12-2 是 一 个 简单 的 例子 。 


表 12-2 用 户 服务 表 
用 户 服 务 需 求 
地 点 
用 户 数 量 
今后 3 年 的 期 望 增长 速度 
信息 的 及 时 发 布 
可 靠 性 /可 用 性 
安全 性 
可 伸缩 性 
成 本 
响应 时 间 
其 他 


服务 或 需求 描述 


3. 应 用 需求 
收集 应 用 需求 可 以 从 两 个 角度 出 发 ， 一 是 从 应 用 类 型 的 特性 出 发 ， 另 一 个 是 从 应 用 对 资源 
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访问 的 角度 出 发 。 从 以 上 两 种 角度 出 发 ， 可 以 有 下 面 的 分 类 。 

(1) 按 功 能 分 类 。 按 功能 对 应 用 进行 分 类 ， 可 以 将 应 用 划分 为 常见 功能 类 型 和 特定 功能 
类 型 。 

常见 功能 类 型 的 应 用 如 图 12-7 所 示 ， 这 些 应 用 类 型 中 的 大 多 数 都 是 日 常 工作 中 接触 较为 频 
繁 、 应 用 范围 较 广 的 。 


因特网 访问 | [ 电子 邮件 “| [ 图 形 图 像 


数据 库 文件 管理 文字 处 理 电子 表格 


专用 的 硬件 平台 和 操作 系统 


图 12-7 常见 功能 类 型 应 用 


特定 功能 软件 包括 控制 、 维 护 网 络 和 计算 机 系统 的 功能 ， 例 如 防 病毒 软件 和 网 络 管理 系统 
等 。 面 向 特定 工作 的 工具 软件 主要 是 行业 软件 ， 包 括 金 融 计划 系统 、 工 程 和 设计 系统 、 制 造 控 
制 系统 和 排版 工具 等 专业 软件 。 

对 应 用 需求 按 功 能 分 类 ， 依 据 不 同类 型 的 需求 特性 ， 可 以 很 快 归 纳 出 网 络 工程 中 应 用 对 网 
络 的 主体 需求 。 

(2) 按 共享 分 类 。 软 件 可 根据 其 在 网 络 中 的 用 户 数 进行 分 类 ， 分 别 为 单 用 户 软件 、 多 用 户 
软件 和 网 络 软件 。 单 用 户 软件 运行 时 只 有 一 个 用 户 可 以 访问 ， 只 能 访问 本 地 资源 。 虽 然 网 络 操 
作 系 统 允 许 通过 远程 方式 访问 单机 软件 ， 但 是 该 软件 在 运行 时 不 可 能 实现 资源 共享 。 多 用 户 软 
件 允 许多 个 用 户 同时 使 用 ， 并 且 提 供 了 用 户 间 共享 文件 的 机 制 。 多 用 户 软件 通过 分 时 、 线 程 切 
换 等 多 种 机 制 实现 多 个 用 户 并 发 访问 ， 通 过 文件 加 锁 机 制 实现 文件 共享 。 网 络 软件 利用 所 有 的 
网 络 资源 ， 既 可 以 集中 安装 在 一 台 服 务 器 上 ， 也 可 以 分 布 在 不 同 的 服务 器 上 ， 是 实现 共享 的 最 
佳 方式 ， 借 助 于 网 络 和 应 用 协议 来 完成 网 络 资源 的 共享 。 

(3) 按 响应 方式 分 类 。 应 用 可 以 分 为 实时 和 非 实 时 应 用 两 种 ， 不 同 响应 方式 具有 不 同 的 网 
络 响 应 性 能 需求 。 实 时 应 用 软件 在 收 到 信息 后 马上 处 理 , 一 般 不 需要 用 户 干 预 , 这 对 网 络 带宽 、 
网 络 延迟 等 提出 了 严格 的 要 求 。 在 实时 应 用 中 ， 通 常 本 地 进程 需要 和 远程 进程 保持 同步 ， 因 此 
实时 应 用 要 求 信息 传输 的 速率 稳定 ， 具 有 可 预测 性 。 非 实时 应 用 更 为 广泛 ， 非 实时 并 不 要 求 规 
定 的 同步 机 制 ， 只 是 要 求 一 旦 发 生 请 求 ， 则 需要 在 规定 的 时 限 内 完成 响应 ， 因 此 对 带宽 、 延 迟 
的 要 求 较 低 ， 但 是 对 网 络 设备 、 计 算 机 平台 的 缓冲 区 提出 了 较 高 的 要 求 。 

(4) 按 网 络 模型 分 类 。 应 用 按 网 络 处 理 模 型 可 以 分 为 单机 软件 、 对 等 网 络 软件 、C/S 软件 、 
B/S 软件 和 分 布 式 软件 等 。 单 机 软件 是 指 不 访问 网 络 资源 的 软件 。 对 等 网 络 软件 只 运行 于 因 特 
网 内 ， 不 区 分 服务 器 和 客户 端的 网 络 软件 。C/S 软件 是 指 在 网 络 中 区 分 出 服务 器 和 客户 端的 网 
络 软件 系统 。B/S 软件 是 指 划分 了 数据 库 服 务 器 、 应 用 服务 器 和 客户 端的 网 络 软件 系统 ，B/S 


第 12 章 网 络 规划 和 设计 “ 呈 c49 医 


软件 是 三 层 模 式 、 多 层 模 式 的 典型 代表 。 分 布 式 软件 是 指 调度 网 络 中 的 多 个 资源 完成 一 个 任务 
的 网 络 软件 系统 。 应 用 采用 不 同 的 网 络 处 理 模型 ， 会 对 网 络 产生 不 同 的 需求 。 

(5) 按 对 资源 的 访问 分 类 。 用 户 对 应 用 系统 的 访问 要 求 是 网 络 设计 的 重要 依据 ， 网 络 工程 
必须 保证 用 户 可 以 非常 顺利 地 使 用 软件 并 获取 需要 的 数据 。 用 户 对 网 络 资源 的 访问 是 可 以 通过 
各 种 指标 进行 量化 的 ， 这 些 量化 的 指标 通过 统计 产生 ， 并 直接 反映 了 用 户 的 需求 。 需 要 考虑 的 
指标 包括 。 

。 每 个 应 用 的 用 户 数量 。 

。 每 个 用 户 平均 使 用 每 个 应 用 的 频率 。 

。 ”使 用 高 峰 期 。 

。 平均 访问 时 间 长 度 。 

。 每 个 事务 的 平均 大 小 。 

。 每 次 传输 的 平均 通信 量 。 

。 ”影响 通信 的 定向 特性 。 例 如 ， 在 一 个 C/S 软件 系统 中 ， 客 户 端 发 送 至 服务 器 端的 请 求 

数据 量 非 常 小 ， 但 是 服务 器 端 返回 的 数据 量 较 大 。 

(6) 其 他 需求 。 由 于 应 用 的 发 展 ， 用 户 数量 不 断 增长 ， 因 此 对 网 络 的 需求 也 会 随 之 变化 。 
在 获取 应 用 需求 时 ， 需 要 询问 用 户 对 应 用 发 展 的 要 求 。 

对 网 络 的 可 靠 性 和 可 用 性 ， 除 了 从 用 户 的 角度 获取 需求 之 外 ， 还 要 对 网 络 中 的 应 用 进行 分 
析 。 和 需求 收集 的 工作 要 点 在 于 找 出 组 织 中 重要 应 用 系统 的 特殊 可 靠 性 和 可 用 性 需求 ， 例 如 在 公 
交 公 司 的 企业 网 络 中 ， 对 公交 车 进行 调度 的 软件 ， 其 可 靠 性 和 可 用 性 需求 就 是 重点 。 

一 个 应 用 对 信息 更 新 的 需求 是 由 用 户 对 最 新 信息 的 需求 来 决定 的 , 但 是 用 户 对 信息 更 新 的 
要 求 并 不 等 同 于 应 用 对 数据 更 新 的 需求 。 应 用 软件 在 面 对 相同 的 信息 更 新 需求 时 ， 如 果 采 用 了 
不 同 的 数据 传输 、 存 储 技术 ， 则 会 产生 不 同 的 数据 更 新 需求 ， 而 网 络 设计 直接 面向 数据 更 新 
需求 。 

这 一 阶段 的 输出 是 应 用 需求 表 。 应 用 需求 表 概括 和 记录 了 应 用 需求 的 量化 指标 ， 通 过 这 些 
量化 指标 可 直接 指导 网 络 设计 。 表 12-3 为 一 个 典型 的 应 用 需求 表示 例 ， 可 根据 实际 需要 进行 
调整 。 


表 12-3 应 用 需求 表 


用 户 名 
〈 应 用 程序 名 ) 
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4. 计算 机 平台 需求 


收集 计算 机 平台 需求 是 网 络 分 析 与 设计 过 程 中 一 个 不 可 缺少 的 步骤 ， 需 要 调查 的 计算 机 
台 主 要 分 为 个 人 计算 机 、 工 作 站 、 小 型 机 、 中 型 机 和 大 型 机 5 类 。 

(1) 个 人 计算 机 。 由 于 个 人 计算 机 是 网 络 中 分 布 最 广 、 数 量 最 多 的 节点 ， 虽 然 技术 含量 较 
低 ， 但 是 应 该 重点 分 析 。 在 分 析 个 人 计算 机 需求 时 ， 应 该 考虑 微 处 理 器 、 内 存 、 输 入 /输出 、 操 
作 系 统 以 及 网 络 配置 等 。 

在 设计 网 络 时 ， 用 户 会 针对 PC 服务 器 提出 最 直接 的 需求 ， 需 求 收集 人 员 应 根据 需要 进行 
各 类 因素 的 技术 指标 设计 ， 在 设计 工作 的 后 期 形成 设备 的 招 投标 技术 参数 。 

(2) 工作 站 。 工 作 站 是 面向 专业 应 用 领域 ， 具 备 强大 的 数据 运算 与 图 形 、 图 像 处 理 能 力 
为 满足 工程 设计 、 动 画 制 作 、 科 学 研究 、 软 件 开 发 、 金 融 管理 、 信 息 服务 和 模拟 仿真 等 专业 领 
域 而 设计 开发 的 高 性 能 终端 计算 机 。 典 型 的 工作 站 包括 一 个 32 位 高 速 微 处 理 器 、64 位 浮 点 处 
理 单元 、UNIX 操作 系统 /XX Windows 图 形 用 户 界面 、 加 速 图 形 控制 器 、17 一 19 英寸 彩色 显示 器 
和 内 置 的 以 太 网 联网 功能 。 

(3) 小 型 机 。 小 型 机 具有 区 别 于 PC 和 服务 器 的 特有 体系 结构 ， 同 时 应 用 了 各 制造 厂家 自 
己 的 专利 技术 ， 有 的 还 采用 小 型 机 专用 处 理 器 。 例 如 ， 美 国 Sun、 日 本 Fujitsu (富士 通 ) 等 公 
司 的 小 型 机 是 基于 SPARC 处 理 器 架构 的 ， 美 国 HP 公司 的 小 型 机 是 基于 PA-RISC 架构 的 。 小 
型 机 的 IO 总 线 也 不 同 于 一 般 的 个 人 计算 机 ， 例 如 Fujitsu 是 PCI，Sun 是 SBUS。 这 意味 着 各 
公司 小 型 机 上 的 插 卡 ， 如 网 卡 、 显 示 卡 和 SCSI 卡 等 可 能 也 是 专用 的 。 小 型 机 使 用 的 操作 系统 
一 般 是 基于 UNIX 内 核 的 专用 产品 ，Sun、Fujitsu 使 用 的 操作 系统 是 Sun Solaris，HP 小 型 机 使 
用 HP-UX，IBM 小 型 机 使 用 的 是 AIX。 

小 型 机 是 封闭 的 专用 计算 机 系统 ,使 用 小 型 机 的 用 户 一 般 是 看 中 UNIX 操 作 系 统 的 安全 性 、 
可 靠 性 和 专用 服务 器 的 高 速 运算 能 力 。 在 网 络 工程 中 ， 如 果 用 户 对 应 用 提出 了 较为 苛刻 的 安全 
性 、 可 靠 性 和 专用 性 的 要 求 ， 则 可 以 考虑 采用 小 型 机 作为 应 用 的 服务 器 。 

(4) 中 型 机 。 在 当前 的 网 络 工程 中 已 经 不 再 严格 划分 中 型 机 和 小 型 机 ， 更 多 情况 下 ， 中 型 
机 相当 于 小 型 机 中 的 高 档 产 品 。 在 大 多 数 厂商 的 非 X86 服务 器 产品 中 , 一 般 会 存在 着 多 种 系列 ， 
最 常见 的 产品 划分 方式 为 部 门 级 服务 器 、 企 业 级 服务 器 和 电信 级 服务 器 。 在 大 多 数 情况 下 ， 可 
以 将 部 门 级 、 企 业 级 服务 器 等 同 于 小 型 机 ， 而 将 电信 级 服务 器 等 同 于 中 型 机 。 

(5) 大 型 机 。 大 型 机 和 相关 的 客户 端 一 服务 器 产品 可 以 管理 大 型 网 络 ， 存 储 大 量 重 要 数据 
以 及 驱动 数据 并 保证 其 数据 的 完整 性 。 大 型 机 系统 具有 较 高 的 可 用 率 、 高 带宽 的 输入 /输出 设备 、 
严格 的 数据 备份 和 恢复 机 制 、 高 水 平 的 数据 集成 和 安全 性 能 。 大 型 机 由 CPU、 主 存 操作 员 控 制 
台 、LO 通道 、 通 信 控 制 器 、 磁 盘 控 制 器 、 存 储 控制 器 、 磁 带子 系统 、 显 示 器 和 打印 机 等 组 件 
构成 ， 具 有 物理 尺寸 大 、 系 统 容量 大 、 运 行 速度 高 、 容 错 能 力 强 、 系 统 安 全 性 高 、 事 务 处 理 能 
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力 强 的 特点 。 

大 型 机 目前 仍然 在 金融 行业 、 记 账 系统 、 订 单 处 理 系 统 、 大 型 因特网 应 用 、 复杂 数 据 处 理 、 
联机 交易 系统 和 科学 计算 等 领域 发 挥 作用 ， 但 是 随 着 计算 机 小 型 化 的 发 展 ， 大 型 机 将 逐步 退出 
应 用 市 场 。 在 网 络 设计 中 ， 只 有 全 国 、 全 行业 级 的 应 用 中 才 会 出 现 大 型 机 的 应 用 需求 。 

这 一 阶段 的 输出 是 计算 机 平台 需求 表 。 计 算 机 平台 需求 表 是 总 结 用 户 对 计算 机 平台 需求 的 
表格 ， 通 过 对 该 表格 的 填写 ， 为 后 期 的 计算 机 平台 参数 指标 确定 工作 奠定 基础 。 


5. 网 络 需求 


需求 分 析 的 最 后 工作 是 考虑 网 络 管理 员 的 需求 ， 这 些 需 求 包括 以 下 内 容 。 

1) 局 域 网 功能 

传统 局 域 网 络 由 二 层 交换 机 构成 局 域 网 骨干 ， 整 个 网 络 是 一 个 广播 域 。 在 这 样 的 网 络 中 ， 
网 段 由 交换 机 的 一 个 端口 下 连 的 共享 设备 形成 ， 网 段 内 部 用 户 之 间 的 通信 不 需要 通过 交换 设 
备 ， 而 段 间 通 信和 需要 通过 交换 设备 进行 存储 转发 。 

现代 局 域 网 由 三 层 交 换 设备 构成 局 域 网 骨干 ， 这 种 网 络 中 存在 多 个 广播 域 ， 其 实 就 是 多 个 
小 型 局 域 网 ， 这 些小 型 局 域 网 通过 三 层 设备 的 路 由 交换 功能 互 连 。 在 这 种 局 域 网 络 中 ， 网 段 的 
概念 发 生 了 变化 ， 其 实 就 是 一 个 独立 的 广播 域 ， 一 个 典型 的 VLAN。 

无 论 是 哪 种 网 段 ， 都 是 计算 机 节点 的 一 种 划分 方式 , 但 是 基于 三 层 交 换 技术 的 网 段 划分 方 
式 逐 渐 成 为 主流 。 一 般 情况 下 ， 局 域 网 段 和 用 户 群 的 分 布 是 一 致 的 ， 但 是 也 存在 一 定 的 差异 ， 
允许 一 个 网 段 内 部 存在 多 个 用 户 群 ， 也 允许 一 个 用 户 群 占据 多 个 网 段 。 

对 于 升级 的 网 络 ， 可 以 对 现 有 网 段 划 分 方式 进行 改进 ， 形 成 新 的 划分 方案 。 对 于 新 建 的 网 
络 ， 要 和 网 络 管理 员 一 起 商量 网 段 划 分 的 方式 。 最 终 都 应 形成 的 网 段 分 布 需 求 就 是 用 户 群 和 网 
段 的 关系 需求 。 

局 域 网 段 的 分 布 主要 依据 业务 上 的 特殊 要 求 ， 这 会 导致 不 同 的 网 段 存在 不 同 的 功能 要 求 。 
在 进行 网 络 需求 收集 时 , 应 该 找到 各 网 段 所 需要 的 功能 清单 , 并 明确 各 个 网 段 中 功能 的 重要 性 。 

局 域 网 的 负载 是 和 应 用 有 关联 的 , 根据 局 域 网 络 的 功能 需求 , 可 以 分 析出 局 域 网 络 的 负载 。 
在 进行 网 络 负载 分 析 时 ， 要 针对 各 种 应 用 和 功能 服务 评估 服务 的 平均 业务 量 或 文件 传输 的 大 
小 ， 同 时 估算 用 户 的 访问 频率 ， 经 过 简单 计算 就 可 以 估算 出 网 络 的 负载 。 

对 于 升级 的 网 络 ， 可 以 对 现 有 网 络 通过 各 种 测试 工具 来 获取 网 络 流量 分 析 ， 从 而 获取 当前 
网 络 的 负载 ， 作 为 升级 后 网 络 负载 的 参照 。 

对 于 非 专用 设计 标准 ， 根 据 经 验 或 简单 的 方法 就 可 以 进行 评估 。 对 于 较为 复杂 、 要 求 较 高 
的 网 络 ， 对 各 种 服务 的 平均 业务 量 、 文 件 传输 的 大 小 、 用 户 访问 的 频率 ， 都 应 根据 实际 测试 的 
值 来 进行 局 域 网 负载 的 计算 。 
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2) 网 络 性 能 

针对 网 络 的 性 能 需求 ， 主 要 考虑 的 是 网 络 容量 和 响应 时 间 。 这 里 的 网 络 容量 和 响应 时 间 并 
不 是 来 自 于 复杂 的 网 络 分 析 ， 而 是 直接 来 自 于 网 络 管理 人 员 的 要 求 。 在 有 些 网 络 工程 中 ， 网 络 
管理 人 员 提 出 的 网 络 容量 和 响应 时 间 要 高 于 用 户 和 应 用 的 需求 。 

3) 有 效 性 需求 

有 效 性 需求 指 的 是 在 进行 网 络 建设 策略 的 选择 时 产生 的 各 种 过 滤 条 件 。 有 效 性 条 件 没有 固 
定 的 模式 ， 通 常 要 对 局 域 网 的 拓扑 结构 、 网 络 设备 、 服 务 器 主机 、 存 储 设 备 、 安 全 设备 、 机 房 
设备 和 产品 供应 商 等 设 定 一 些 选择 标准 或 过 滤 条 件 ， 不 符合 过 滤 条 件 的 设备 或 设备 供应 商 被 排 
除 在 选项 之 外 。 

在 网 络 设计 工作 中 ， 这 些 琐 碎 的 选择 条 件 对 设计 工作 的 影响 是 非常 大 的 ， 很 多 项 目 就 是 因 
为 在 需求 调查 工作 中 没有 注意 有 效 性 条 件 的 收集 而 导致 了 最 后 失败 。 

4) 数据 备份 和 容 灾 需 求 

数据 备份 和 容 灾 需 求 是 网 络 工程 中 的 重点 内 容 。 对 于 一 些 特定 行业 来 说 ， 数 据 是 至 关 重 要 
的 ， 数 据 一 旦 丢失 ， 将 会 造成 不 可 挽回 的 损失 。 根 据 不 同 的 网 络 工程 规模 存在 两 种 建设 情况 
一 种 是 需要 建设 复杂 的 数据 中 心 和 容 灾 备 份 中 心 ， 另 外 一 种 是 仅 建立 数据 备份 和 容 灾 机 制 。 

数据 中 心 建设 需要 收集 的 需求 如 下 。 

。 链 路 和 带宽 需求 。 

。 接 入 设备 需求 。 

。 互联 协议 需求 。 

。 数据 中 心 局 域 网 划分 需求 。 

。 数据 中 心 设备 需求 。 

。 数据库 平 台 需 求 。 

。 ”安全 设备 需求 。 

。 机房 及 电源 需求 。 

。 ”数据 中 心 托管 及 服务 需求 。 

。 ”数据 资源 建设 规划 需求 。 

。 数据 备份 管理 机 制 需求 。 

容 灾 备份 中 心 的 需求 内 容 和 数据 中 心 基本 一 致 ， 但 是 建设 内 容 稍 有 差异 。 在 数据 中 心 和 容 
灾 备份 中 心 之 间 关 键 的 是 容 灾 方式 。 容 灾 方 式 分 为 数据 级 容 灾 和 应 用 级 容 灾 ， 容 灾 方 式 存在 国 
际 标准 ， 应 正确 引导 网 络 管理 人 员 ， 达 成 数据 中 心 、 容 灾 备 份 中 心 、 容 灾 方 式 建设 需求 的 一 致 
性 标准 。 

相对 于 建设 复杂 的 数据 中 心 和 容 灾 备份 中 心 这 样 庞大 的 工程 ,建立 简单 有 效 的 数据 备份 和 
容 灾 机 制 针对 小 型 网 络 是 合适 并 有 效 的 。 正 确 备份 信息 在 网 络 恢复 信息 时 显得 尤为 重要 ， 必 须 
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制订 很 好 的 防御 和 恢复 策略 , 必须 执行 严格 的 备份 过 程 和 存档 处 理 。 在 选择 备份 方针 和 技术 时 ， 
必须 对 整个 组 织 的 风险 做 一 下 评估 ， 确 定 各 种 数据 的 相对 重要 性 。 制 订 的 恢复 方案 至 少 应 该 包 
括 以 下 内 容 。 
。 选择 媒体 以 供 备份 ， 包 括 磁盘 阵列 或 者 磁带 库 。 
。 ”保护 现场 数据 。 
。 保护 现场 外 的 备份 数据 。 
。 制定 数据 应 急 预 案 。 
5) 网 络 管理 需求 
网 络 管理 人 员 的 管理 思路 、 产 品 喜好 、 管 理 要求 是 决定 网 络 管理 平台 的 关键 ， 由 于 网 络 管 
理 是 网 络 工程 中 较为 复杂 、 牵 涉 面 较 广 的 建设 内 容 ， 需 要 与 网 络 管理 人 员 重 点 进行 交流 ， 获 取 
明确 的 管理 需求 。 网 络 管理 建设 要 从 以 下 方面 进行 调查 。 
。 明确 网 络 管理 的 目的 。 企 业 网 络 管理 的 主要 目的 是 提高 网 络 可 用 性 、 改 进 网 络 性 能 、 
减少 和 控制 网 络 费用 以 及 增强 网 络 安全 性 等 ， 网 管 员 可 以 根据 自身 需要 进行 补充 与 调整 。 
。 掌握 网 络 管理 的 要 素 。 网 络 管理 平台 的 建设 要 注意 与 业务 需求 结合 ， 建 立 完整 而 理想 
的 网 络 管理 解决 方案 应 该 根据 应 用 环境 和 业务 流程 以 及 用 户 需求 的 端 到 端 关 联 来 管理 
网 络 及 其 所 有 设备 。 
。 明晰 管理 的 网 络 资源 。 网 络 资源 就 是 指 网 络 中 的 硬件 设备 、 网 络 环境 中 运行 的 软件 以 
及 所 提供 的 服务 等 ， 网 络 管理 员 必 须 明 确 需 要 管理 的 网 络 资源 。 
。 注重 软件 资源 管理 和 软件 分 发 。 网 络 管理 系统 的 软件 资源 管理 和 软件 分 发 功能 是 指 优 
化 管理 信息 的 收集 。 软 件 资源 管理 是 对 企业 所 拥有 的 软件 授权 数量 和 安装 地 点 进行 管 
理 ， 软 件 分 发 则 是 通过 网 络 把 新 软件 分 发 到 各 个 站 点 ， 并 完成 安装 和 配置 工作 。 这 些 
特定 的 需求 必须 让 管理 员 明 确 。 
。 应 用 管理 不 容 忽视 。 应 用 管理 用 于 测量 和 监督 特定 的 应 用 软件 及 其 对 网 络 传输 流量 的 
影响 。 网 络 管理 员 通 过 应 用 管理 可 以 跟踪 网 络 用 户 和 运行 的 应 用 软件 ， 改 善 网 络 的 响 
应 时 间 。 网 络 管理 人 员 应 明确 在 应 用 管理 方面 的 需求 。 
选择 网 管 软件 要 根据 网 管 人 员 的 产品 喜好 ， 同 时 也 要 明确 对 网 管 软件 的 要 求 。 
。 企业 需要 哪些 管理 功能 。 网 管 软件 都 是 价格 不 菲 的 ， 所 以 在 为 企业 选择 网 管 软件 时 一 
定 要 考虑 目前 与 未 来 企业 网 络 环境 发 展 的 需要 。 一 个 好 的 网 络 管理 系统 必须 适合 企业 
业务 发 展 的 需要 。 
。 网 络 管理 软件 支持 哪些 标准 。 网 管 人 员 需 要 明确 产品 对 网 管 协议 支持 的 程度 ， 尤 其 是 
SNMP 和 RMON 协议 ， 需 要 明确 到 协议 的 版 本 和 关键 细节 。 
。 支持 各 种 硬件 、 软 件 的 范围 。 不 同 网 管 软件 对 不 同 产品 的 支撑 是 不 一 样 的 ， 管 理 人 员 
需要 明确 什么 样 的 硬件 、 软 件 纳入 网 络 管理 范畴 才能 设 定 符合 要 求 的 产品 范围 。 
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。 可 管理 性 。 可 管理 性 是 由 于 网 管 需求 对 被 管理 设备 提出 的 需求 ， 可 管理 性 要 求 是 指 设 
备 对 协议 、 管 理 信息 库 、 图 形 库 等 各 方面 的 支持 ， 也 属于 网 管 平台 的 需求 。 
6) 网 络 安全 需求 
网 络 安全 体系 是 建设 网 络 工程 的 重要 内 容 之 一 ， 不 管 网 络 工程 规模 如 何 ， 都 应 该 存在 一 个 
可 扩展 的 总 体 安 全 体系 框架 。 对 于 不 同 的 网 络 工程 项 目 , 允许 建设 不 同 的 安全 体系 框架 。 图 12-8 
是 一 个 可 行 的 安全 体系 框架 ， 设 计 人 员 在 进行 网 络 安全 需求 收集 时 可 以 依据 这 个 框架 进行 安全 
需求 的 调查 。 


洪 阅 冰 通 奖 汪 
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安全 管理 体系 


图 12-8 ”安全 体系 框架 的 示例 

在 图 12-8 所 示 的 安全 体系 框架 中 ,安全 管理 体系 是 整个 安全 架构 的 基础 ,使 安全 问题 可 控 
可 管 。 安 全 技术 措施 包括 机 房 及 物理 线路 安全 、 网 络 安 全 、 系 统 安 全 、 应 用 安全 、 安 全 信任 体 
系 等 。 以 容 灾 和 恢复 为 目标 的 后 备 保障 措施 用 来 对 付 重 大 灾难 性 事件 后 的 网 络 重建 ， 以 安全 运 
行 维护 支持 服务 作为 外 部 支撑 条 件 ， 使 安全 问题 能 够 及 时 有 效 地 解决 。 

基于 以 上 框架 ， 设 计 人 员 应 该 协助 网 络 管理 人 员 对 安全 管理 体系 、 运 营 服务 体系 、 数 据 
容 灾 与 恢复 、 安 全 信任 体系 等 方面 的 需求 进行 确定 。 同 时 , 对 于 技术 措施 需求 , 可 以 借鉴 表 12-4 
的 内 容 进 行 明确 。 

表 12-4 技术 措施 需求 表 
技术 措施 层次 需求 项 目 需求 项 目 需求 项 目 需求 项 目 


机 房 及 物理 线 局 计算 机 通信 线路 | ,ww 和 人 主要 设备 的 防 雷 击 
路 安全 需求 机 房 安全 he 骨干 线路 见 余 防护 措施 


区 域 边界 安全 策略 


安全 
E 安全 区 域 划 分 安全 区 域 级 别 区 域内 部 安全 策略 
rn 
交合 需 玉 | 如 让 设备 安全 入 侵 检 测 
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续 表 


技术 措施 层次 需求 项 目 需求 项 目 


,A | 抗 Dpos VPN 流量 管理 | 网 络 监 控 与 审计 
四 | 网 络 监控 与 审计 | 访问 控制 | 
| 身份 认证 账户 管理 主机 系统 配置 管理 “| 漏洞 发 现 与 补丁 管理 
系统 安全 需求 “| 内核 加 固 病毒 防护 桌面 安全 管理 | 系统 备份 与 恢复 


系统 监控 与 审计 | 访问 控制 
数据 库 安全 邮件 服务 安全 Web 服务 安全 


7) 城 域 网 /广域网 的 选择 

对 于 一 般 的 网 络 工程 来 说 ， 城 域 网 和 广域网 用 于 连接 局 域 网 ， 并 形成 完整 的 企业 网 络 。 城 
域 网 /广域网 通过 连接 设备 和 通信 线路 实现 各 远程 局 域 网 络 之 间 的 互 连 。 城 域 网 /广域网 可 供 选 
用 的 连接 方案 有 以 下 两 种 : 

。 点 对 点 线路 交换 服务 (拨号 线路 或 租用 线路 )。 

。 分 组 交换 服务 。 

在 点 对 点 线路 交换 服务 方式 中 存在 局 域 网 路 由 设备 和 线路 交换 设备 两 类 设备 ， 这 些 设备 之 
间 通 过 物理 线路 互 连 ， 在 路 由 设备 之 间 建 立 的 是 虚拟 电路 ， 数 据 分 组 仅 在 路 由 设备 上 进行 封装 
和 解 封 ， 在 线路 交换 设备 上 以 数据 帧 或 信号 的 方式 进行 传递 。 在 分 组 交换 方式 中 ， 路 由 器 和 分 
组 交换 设备 之 间 通 过 分 组 交换 协议 互 连 ， 数 据 分 组 在 路 由 设备 、 分 组 交换 设备 上 都 存在 封装 和 
解 封 。 所 以 ， 在 点 对 点 线路 交换 方式 中 ， 相 当 于 两 台 局 域 网 路 由 器 通过 虚拟 电路 直接 互 连 ， 而 
在 分 组 交换 方式 中 ， 两 台 局 域 网 路 由 器 之 间 存 在 由 多 个 路 由 设备 构成 的 分 组 网 络 。 


12.3.2 ”编制 需求 说 明 书 


通过 需求 收集 工作 ， 网 络 设计 人 员 获 取 了 大 量 的 需求 信息 ， 这 些 信 息 由 各 种 独立 的 表格 、 
散乱 的 文字 以 及 部 分 统计 数据 构成 ， 这 些 需 求 信息 应 整合 形成 正式 的 需求 说 明 书 ， 以 便于 后 期 
设计 、 实 施 、 维 护 工作 的 开展 。 

需求 说 明 书 是 网 络 设计 过 程 中 第 一 个 正式 的 可 以 传阅 的 重要 文件 ， 其 目的 在 于 对 收集 到 的 
需求 信息 做 清晰 的 概括 整理 ， 这 也 是 用 户 管理 层 将 正式 批阅 的 第 一 个 文件 。 

数据 准备 工作 是 开始 需求 说 明 书 编制 的 前 期 工作 ， 主 要 由 两 个 步骤 构成 : 第 一 步 是 要 将 原 
始 数据 制 成 表 ， 从 各 个 表 看 其 内 在 的 联系 及 模式 ;第 二 步 是 要 把 大 量 的 手写 调查 问卷 或 表格 信 
息 转 换 成 电子 表格 或 数据 库 ， 由 于 输入 的 工作 量 较 大 ， 可 以 求助 于 用 户 单位 或 雇用 临时 工 。 

另外 ， 对 于 需求 收集 阶段 产生 的 各 种 资料 ， 包 括 手册 、 报 表 和 原始 单据 等 ， 无 论 其 介质 是 
纸 质 的 还 是 电子 的 ， 都 应 该 编辑 目录 并 归档 ， 以 便于 后 期 查阅 。 


应 用 安全 需求 应 用 系统 定制 安全 


国医 
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编写 需求 说 明 书 的 目的 是 为 了 能 够 向 管理 人 员 提 供 决策 用 的 信息 ,因此 说 明 书 应 该 能 做 到 
尽量 简明 且 信 息 充分 ， 以 节省 管理 人 员 的 时 间 。 

网 络 需 求 说 明 书 不 存在 国际 或 国家 标准 ， 即 使 存在 一 些 行业 标准 ， 也 只 是 规定 了 需求 说 明 
的 大 致 内 容 要 求 。 这 主要 是 由 于 网 络 工程 需求 涉及 的 内 容 较 广 、 个 性 化 较 强 ， 而 且 不 同 的 设计 
队伍 对 需求 的 组 织 形式 也 不 一 样 。 

对 网 络 需 求 说 明 书 存在 两 点 要 求 : 首先 ， 无 论 需求 说 明 书 的 组 织 形式 如 何 ， 网 络 需求 说 明 
书 应 包含 业务 、 用 户 、 应 用 、 计 算 机 平台 和 网 络 5 个 方面 的 需求 内 容 ， 其 次 ， 为 了 规范 需求 说 
明 书 的 编制 ， 一 般 情况 下 ， 需 求 说 明 书 应 该 包括 以 下 5 个 部 分 。 


1. 综述 


需求 说 明 书 的 第 一 部 分 内 容 是 综述 ， 即 对 网 络 工程 项 目的 主要 内 容 、 重 要 性 等 进行 一 个 简 
单 的 描述 。 综 述 应 包括 的 内 容 如 下 。 

(1) 对 项 目的 简单 概述 。 

(2) 设计 过 程 中 各 个 阶段 的 清单 。 

(3) 项 目 各 个 阶段 的 状态 ， 包 括 已 完成 的 阶段 和 现在 正 进行 的 阶段 。 


2. 需求 分 析 阶 段 总 结 


需求 分 析 阶 段 总 结 主要 是 总 结 需 求 分 析 阶 段 的 工作 ， 总 结 内 容 如 下 。 
(1) 接触 过 的 群体 和 代表 人 名 单 。 

(2) 标明 收集 信息 的 方法 (访谈 、 集 中 访谈 和 调查 等 )。 

(3) 访谈 、 调 查 总 次 数 。 

(4) 取得 的 原始 资料 数量 (调查 问卷 、 报 表 等 )。 

(5) 在 调查 工作 中 遇 到 的 各 种 困难 等 。 


3. 需求 数据 总 结 


对 需求 调查 中 获取 的 数据 需要 认真 总 结 归纳 出 信息 ， 并 通过 多 种 形式 进行 展现 。 在 对 需求 
数据 进行 总 结 时 ， 应 注意 以 下 几 点 。 

(1) 简单 直接 。 提 供 的 总 结 信息 应 该 简单 易 懂 ， 并 且 将 重点 放 在 信息 的 整体 框架 上 ， 而 不 
是 具体 的 需求 细节 。 另 外 ， 为 了 方便 用 户 进行 阅读 ， 应 尽量 使 用 用 户 的 行业 术语 ， 而 不 是 技术 
术语 。 

(2) 说 明 来 源 和 优先 级 。 对 于 需求 ， 要 按照 业务 、 用 户 、 应 用 、 计 算 机 平台 和 网 络 等 进行 
分 类 ， 并 明确 各 类 需求 的 具体 来 源 〈 例 如 人 员 、 政 策 等 )。 

(3) 尽量 多 用 图 片 。 图 片 的 使 用 可 以 使 读者 更 容易 了 解数 据 模式 ， 在 需求 数据 总 结 中 大 量 
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地 使 用 图 片 ， 尤 其 是 数据 表格 的 图 形 化 展示 ， 是 非常 有 必要 的 。 

(4) 指出 矛盾 的 需求 。 在 需求 中 会 存在 一 些 矛 盾 ， 需 求 说 明 书 中 应 对 这 些 矛 盾 进行 说 明 ， 
以 使 设计 人 员 找 到 解决 方法 。 同 时 ， 如 果 用 户 人 员 给 出 了 矛盾 中 目标 的 优先 级 别 ， 则 需要 特殊 
标记 ， 以 便 在 无 法 避免 矛盾 的 时 候 先 实现 高 级 别 的 目标 。 

4. 按 优先 级 排队 的 需求 清单 

对 需求 数据 进行 整理 总 结 之 后 ， 按 照 需求 数据 的 重要 性 列 出 数据 的 优先 级 别 清单 。 

S. 申请 批准 部 分 


在 编写 需求 说 明 书 时 ， 需 要 预 留 大 量 对 需求 进行 确认 或 者 申请 批准 的 内 容 ， 确 切 地 说 ， 就 
是 要 预 留 大 量 用 户 管理 人 员 签 字 的 空间 。 由 于 需求 说 明 书 是 开展 后 期 设计 工作 的 基础 ， 必 须 避 
免 用 户 需 求 和 收集 材料 的 不 一 致 性 ， 因 此 预 留 申请 批准 部 分 是 必需 的 。 
于 需求 经 常 发 生变 化 ， 因 此 在 编写 需求 说 明 书 的 时 候 也 要 考虑 到 怎样 设计 修改 说 明 书 。 
如 果 的 确 需要 修改 ， 最 好 不 要 改变 原来 的 数据 和 信息 ， 可 以 考虑 在 需求 说 明 书 中 附加 一 部 分 内 
容 说 明 修改 的 原因 ， 解 释 管理 层 的 决定 ， 然 后 给 出 最 终 的 需求 说 明 。 


12.4 ”通信 流量 分 析 


通信 规范 分 析 最 终 的 目标 是 产生 通信 流量 , 其 中 必要 的 工作 是 分 析 网 络 中 信息 流量 的 分 布 
问题 。 在 整个 过 程 中 ， 需 要 依据 需求 分 析 的 结果 产生 单个 信息 流量 的 大 小 ， 依 据 通信 模式 、 通 
信 边 界 的 分 析 ， 明 确 不 同 信息 流 在 网 络 不 同 区 域 、 边 界 的 
分 布 ， 从 而 获得 区 域 、 边 界 上 的 总 信息 流量 。 


12.4.1 通信 流量 分 析 的 方法 


对 于 部 分 较为 简单 的 网 络 , 不 需要 进行 复杂 的 通信 流 
量 分 布 分 析 ， 仅 采用 一 些 简单 的 方法 ， 例 如 80/20 规则 、 
20/80 规则 等 。 但 是 对 于 复杂 的 网 络 ， 仍 必须 进行 复杂 的 
通信 流量 分 布 分 析 。 

80/20 规则 是 传统 网 络 中 广泛 应 用 的 一 般 规则 。80/20 
规则 基于 这 样 的 可 能 性 :通信 流量 的 80% 在 某 个 网 段 中 流 
动 ， 只 有 20% 的 通信 流量 访问 其 他 网 段 ， 如 图 12-9 所 示 。 

利用 80/20 规则 进行 通信 流量 分 布 ， 对 一 个 网 段 内 部 
的 通信 流量 不 进行 严格 的 分 析 , 仅仅 是 根据 用 户 和 应 用 需 


图 12-9 ”80/20 规则 
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求 进 行 统计 ， 产 生 网 段 内 的 通信 和 总 量 大 小 ， 认 为 总 量 的 80% 是 在 网 段 内 部 ， 而 20% 是 对 网 段 外 
部 的 流量 。 

80/20 规则 不 仅仅 是 一 种 设计 思路 ， 也 是 一 种 特殊 的 优化 方法 ， 通 过 这 种 方式 可 以 限制 用 
户 的 不 合理 需求 ， 是 最 优化 地 使 用 网 络 骨 干 和 使 用 昂贵 的 广域网 连接 的 一 种 行 之 有 效 的 方法 。 
例如 ， 如 果 核 心 交换 机 的 容量 为 100Mbps， 局 域 网 至 外 部 的 带宽 应 限制 在 20Mbps 以 内 。 

80/20 规则 适用 于 内 部 交流 较 多 、 外 部 访问 相对 较 少 、 网 络 较 为 简单 、 不 存在 特殊 应 用 的 
网 络 或 网 段 。 

随 着 因特网 络 的 发 展 , 一 些 特殊 的 网 络 不 断 产生 , 例如 小 区 内 计算 机 用 户 形成 的 局 域 网 络 、 
大 型 公司 用 于 实现 远程 协同 工作 的 工作 组 网 络 等 。 这 些 网 络 的 特征 是 网 段 的 内 部 用 户 之 间 相 互 
访问 较 少 ， 大 多 数 对 网 络 的 访问 都 是 对 网 段 外 的 资源 进行 访问 。 对 于 这 些 流量 分 布 恰好 位 于 另 
一 个 极端 的 网 络 或 网 段 ， 则 可 以 采用 20/80 规则 。 

利用 20/80 规则 进行 通信 流量 分 布 的 设计 要 根据 用 户 和 应 用 需求 的 统计 产生 网 段 内 的 通信 
总 量 大 小 ， 认 为 总 量 的 20% 是 网 段 内 部 的 流量 ， 而 80% 是 网 段 外 部 的 流量 。 

这 是 一 些 简 单 的 规则 ， 但 是 这 些 规则 是 建立 在 大 量 的 工程 经 验 基 础 上 的 ， 通 过 这 些 规 则 的 
应 用 ， 可 以 很 快 完成 一 个 复杂 网 络 中 大 多 数 网 段 的 通信 流量 分 析 工 作 ， 可 以 合理 地 减少 大 型 网 
络 中 的 设计 工作 量 。 


12.4.2 ”通信 流量 分 析 的 步 又 


对 于 复杂 的 网 络 ， 需 要 进行 复杂 的 通信 流量 分 析 。 通 信 流 量 分 析 从 对 本 地 网 段 上 和 通过 网 
络 骨 干 某 个 特定 部 分 的 通信 量 进行 估算 开始 ， 可 采用 以 下 步骤 。 


1. 把 网 络 分 成 易 管理 的 网 段 


在 通信 量 分 析 的 过 程 中 ,首要 任务 是 依据 需求 阶段 得 到 的 网 络 分 段 需 求 和 工程 经 验 将 网 络 
工程 划分 成 若干 个 物理 或 者 四 辑 网 段 ， 并 进行 编号 ， 同 时 选择 适当 的 广域网 拓扑 结构 ， 最 终 形 
成 相应 的 各 类 网 络 边界 。 然 后 从 估算 每 个 网 段 的 通信 模式 和 通信 容量 开始 ， 分 析 这 些 部 分 之 间 
的 信息 流动 方式 ， 最 后 才 产 生 通 信 流 量 。 

网 段 划分 要 考虑 用 户 的 需求 。 对 于 升级 的 网 络 ， 可 以 对 现 有 网 段 划分 方式 进行 改进 ， 形 成 
新 的 划分 方案 。 对 于 新 建 网 络 ， 则 是 和 网 络 管理 员 一 起 商量 网 段 划 分 方式 。 一 般 情况 是 按照 工 
作 组 或 部 门 来 划分 网 段 ， 因 为 相同 工作 组 或 部 门 中 的 用 户 通常 使 用 相同 的 应 用 程序 ， 并 且 具 有 
相同 的 基本 需求 。 

由 于 网 段 属于 局 域 网 络 范畴 ， 在 进行 分 析 工 作 前 ， 需 要 确定 网 段 的 局 域 网 通信 边界 。 如 果 
网 段 的 通信 边界 是 物理 边界 ， 则 这 个 网 段 需要 独立 地 进行 分 析 。 如 果 多 个 网 段 的 通信 边界 是 风 
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辑 边 界 ， 则 这 些 网 段 不 需要 独立 地 进行 分 析 ， 而 是 作为 一 个 整体 网 段 进 行 分 析 。 

无 论 是 物理 网 段 分 析 ， 还 是 多 个 虚拟 网 段 构成 的 整体 网 段 分 析 ， 都 可 以 采用 局 部 分 析 法 。 
局 部 分 析 法 的 实质 在 于 只 关注 于 一 个 网 段 ， 并 将 该 网 段 边 界外 的 其 他 部 分 内 容 等 同 于 一 个 外 部 
网 络 来 进行 分 析 。 

图 12-10 是 一 个 较为 复杂 的 网 络 ， 其 中 ， 路 由 器 A 是 一 个 局 域 网 的 物理 边界 ， 路 由 器 C 连 
接 的 局 域 网 络 较为 复杂 ， 存 在 多 个 VLAN， 这 些 VLAN 的 通信 边界 是 逻辑 的 ， 而 路 由 器 C 则 
是 这 些 VLAN 和 其 他 区 域 的 共同 物理 边界 。 


核心 三 层 交 


图 12-10 一 个 复杂 网 络 示 意图 


在 进行 局 部 分 析 法 时 ， 对 整个 网 络 进行 抽象 ， 形 成 如 图 12-11 所 示 的 网 络 分 段 ， 其 中 ， 图 
12-11 (a) 是 路 由 器 A 所 连接 的 物理 网 段 ， 图 12-11 (b) 是 路 由 器 C 所 连接 的 多 个 多 辑 网 段 的 
抽象 图 。 
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网 络 其 
他 部 分 
路 由 器 A 


交换 机 


客户 端 客户 并 


(a) (b) 


图 12-11 局 部 分 析 法 所 形成 的 抽象 图 


2. 确定 个 人 用 户 和 网 段 的 通信 量 


在 通信 量 分 析 中 ， 第 二 步 是 复查 需求 说 明 书 中 的 业务 需求 、 用 户 需 求 、 应 用 需求 、 网 络 需 
求 部 分 的 内 容 ， 并 根据 通信 流量 的 分 析 进 行 再 次 确定 。 在 需求 收集 阶段 ， 已 经 明确 了 用 户 对 各 
种 应 用 程序 的 估算 使 用 量 ， 其 中 反映 流量 的 主要 是 应 用 需求 和 网 络 需 求 。 但 是 这 些 估算 不 仅 没 
有 包含 网 络 流量 ， 也 没有 根据 通信 模式 进行 流量 分 布 分 析 。 这 个 步骤 的 工作 在 于 将 需求 分 析 中 
不 同 格式 的 统计 表格 转化 为 统一 的 流量 表格 ， 以 便于 开始 后 续 的 分 析 工 作 。 


3. 确定 本 地 和 远程 网 段 上 的 通信 流量 分 布 


确定 本 地 和 远程 网 段 上 的 通信 流量 分 布 是 分 析 工 作 的 第 三 步 。 这 个 步骤 的 重要 任务 是 明确 
多 少 通信 流量 存在 于 网 络 内 部 ， 多 少 通信 流量 是 访问 其 他 网 段 。 下 面 以 一 个 拥有 物理 边界 的 网 
段 为 例 ， 借 助 于 前 两 步 的 分 析 结 果 进 行 通 信 流 量 分 布 分 析 。 

假设 一 个 专用 网 络 中 拥有 4 个 物理 网 段 ， 编 号 为 1~4 号 ， 这 4 个 网 段 直 接 通 过 路 由 器 进 
行 连接 ， 如 图 12-12 所 示 。 其 中 的 网 段 1 为 整个 网 络 的 核心 网 段 ， 所 有 的 服务 器 都 托管 在 网 段 
1， 而 网 段 2 至 网 段 4 为 普通 的 工作 网 段 。 

网 段 2 中 的 用 户主 要 使 用 以 下 几 种 应 用 : 

。 工作 邮件 。 用 户 需 要 通过 邮件 客户 端 访问 置 于 网 段 1 的 邮件 服务 器 。 
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。 ”办 公 自 动 化 系统 。 办 公 系 统 应 用 服务 器 位 于 网 段 1， 以 B/S 模式 提供 服务 。 
。 ”生产 管理 系统 。 服 务 器 位 于 网 段 1， 以 B/S 模式 提供 服务 ， 主 要 用 于 满足 4 
理 需 要 。 


和 设计 


E 产 工作 管 


。 文件 共享 服务 。 服 务 器 位 于 网 段 1， 主 要 采用 Windows 网 络 文件 系统 提供 C/S 服务 。 
。 ”视频 监控 。 用 户 可 以 互相 调 阅 不 同 网 段 的 视频 监控 流 ， 不 需要 经 过 流 媒体 服务 器 的 管 


理 ， 属 于 典型 的 P2P 应 用 。 


。 ”内 部 交流 。 指 用 户 借助 于 部 分 局 域 网 通信 软件 ， 进 行内 部 交流 。 


网 段 2 


网 段 4 避 


网 段 3 


图 12-12 网 络 示 意图 


在 需求 分 析 中 ， 可 以 形成 如 表 12-5 所 示 的 表格 。 
表 12-5 应 用 需求 分 析 表 


平均 事务 量 大 每 个 会 话 发 生 


应 用 名 称 小 (MB) 平均 用 户 数 | 平均 会 话 长 度 的 事务 数量 络 模 型 
工作 邮件 1 CS 
办 公 自 动 化 系统 0.02 B/S 
生产 管理 系统 0.05 B/S 
文件 共享 服务 100 CI/S 
视频 监控 400 P2P 
内 部 交流 0.01 P2P 


co 


co 
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用 户 可 以 根据 下 面 的 公式 计算 出 应 用 需要 传递 信息 的 速率 。 
应 用 总 信息 传输 速率 = 平均 事务 量 大 小 X 每 字 节 位 数 X 每 个 会 话 事务 数 X 平 均 用 户 数 / 平 


均 会 话 长 度 


根据 这 个 公式 ， 计 算出 结果 如 下 。 


工作 邮件 : 1X8X2X200/60=53Mbps 
办 公 自 动 化 系统 : 0.02X8X4X400/60~4.3Mbps 
生产 管理 系统 : 0.05X8X8X200/60 守 10.7Mbps 


文件 共享 服务 : 100X8X1X100/600~~133.4Mbps 
视频 监控 : 400X8X1X20/3600~:17.8Mbps 
内 部 交流 : 0.01X8X4X800/60~4.3Mbps 

同时 ， 由 于 3 个 工作 网 段 基本 上 是 类 似 网 段 ， 用 户 在 3 个 网 段 的 分 布 基本 一 致 ， 所 以 网 段 


2 所 承担 的 各 应 用 的 比例 都 是 13， 各 应 用 的 信息 传递 速率 是 总 速率 的 1/3。 


由 于 各 应 用 的 通信 模式 不 同 ， 各 应 用 在 网 段 2 中 的 通信 流量 分 布 也 不 同 ， 分 析 通 信 模 式 后 
形成 如 表 12-6 所 示 的 表格 。 


应 ”用 
工作 邮件 
办 公 自 动 
化 系统 
生产 管理 
系统 
文件 共享 
服务 


表 12-6 应 用 流量 分 布 表 


浏览 器 一 
服务 器 
浏览 器 一 


服务 器 


@ 客 户 端 至 服务 器 
@ 服 务 器 至 客户 端 | 进入 网 段 | 1 | 
@ 客 户 端 至 服务 器 
@ 服 务 器 至 客户 端 | 进入 网 段 | 1 | 
@ 客 户 端 至 
@ 服 务 器 至 客户 端 | 进入 网 段 | 1 | 


名 客户 端 至 服务 器 2 


@ 服 务 器 至 客户 端 


估算 流量 
53X 50%=26.5 
53X 50%=26.5 
4.3X20%=0.86 
4.3X80% 二 3.44 
10.7X20%=2.14 
10.7X 80%=8.56 
133.4X50% 一 66.7 
133.4X50% 一 66.7 


视频 监控 


@P2P 流 


17.8X66% 王 11.8 


CDP2P 流 


17.8X33%=5.9 


内 部 交流 


QP2P 流 


4.3X100%=4.3 


注意 ， 由 于 工作 邮件 、 文 件 共享 服务 的 网 络 通 信 模 式 为 客户 端 一 服务 器 模式 ， 这 种 模式 双 
向 流量 大 ， 因 此 在 网 段 流 量 分 布 上 应 用 的 总 流量 在 两 个 方向 上 各 占 50%; 办 公 自 动 化 系统 、 生 
产 管 理 系 统 属于 浏览 器 一 服务 器 模式 ， 在 估算 时 客户 端 至 服务 器 按 20% 进 行 估算 ， 反 向 按 80% 
进行 估算 ， 在 实际 项 目 中 可 根据 测试 情况 进行 调整 ， 内 部 交流 主要 在 网 段 内 部 ， 不 产生 外 部 流 
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量 ; 视频 监控 主要 是 根据 用 户 在 网 段 的 比例 ， 网 段 内 部 用 户 数量 为 总 用 户 的 113， 其 他 网 段 则 占 
2/3。 在 本 例 中 没有 考虑 TCP 协议 、 卫 协议 封装 所 引起 的 流量 ， 如 果 需 要 考虑 这 些 协议 封装 增 
加 的 流量 ， 则 需要 统计 各 应 用 的 平均 协议 包 长 度 ， 并 根据 协议 包头 长 度 和 有 效 负载 长 度 算 出 实 
际 的 网 络 层 流 量 。 例 如 ， 假 设 经 过 统计 或 者 经 验 ， 工 作 邮 件 的 平均 他 包 长 度 为 1200 字 节 ， 则 
下 包头 为 20 字 节 、TCP 包头 为 20 字 节 ， 其 余 的 为 有 效 负载 部 分 ， 则 工作 邮件 客户 端 至 服务 器 
端 应 用 流量 实际 产生 的 网 络 层 流量 为 26.5X1200/1160=:27.4Mbps。 

基于 以 上 分 析 ， 可 以 形成 如 表 12-7 所 示 的 总 流量 分 布 。 


表 12-7 网 段 2 总 流量 分 布 表 
网 络 总 流量 
102X64/56~11.7 
| 1 | 265+08612141667-962 | 962xX64/56~110 
1052X 64/56~120 
1 8X656135 


由 于 以 太 网 的 最 小 帧 长 为 64 字 节 ， 其 中 有 效 负载 为 56 字 节 ， 因 此 可 以 根据 这 种 极端 情况 
计算 出 所 需要 的 最 大 网 络 流量 。 
由 表 12-7 可 知 ， 网 段 2 内 部 的 网 络 设备 必须 提供 13.5Mbps 的 网 络 吞 吐 率 ， 而 网 段 2 和 网 
段 1 之 间 的 往来 流量 分 别 为 110Mbps 和 120Mbps。 由 网 段 2 访问 其 他 网 段 的 双向 流量 为 13.3SMbps， 
则 内 部 交换 机 的 吞吐 率 必须 大 于 13.5Mbps， 网 段 2 的 边界 路 由 器 必须 提供 大 于 110+120+13.5= 
243.5Mbps; 而 网 段 2 的 边界 路 由 器 至 内 部 交换 设备 的 连接 应 提供 正 向 110+13.5/2 =116.75Mbps， 
反 向 120+13.5/2=126.75Mbps 的 传输 速率 ， 则 在 设计 时 可 以 采用 千 光 以 太 线路 并 将 线路 的 双向 
传输 速率 都 限制 在 200Mbps 以 内 。 同 时 ， 表 12-7 可 以 作为 广域网 和 网 络 骨 干 的 计算 依据 。 
需要 注意 的 是 ， 以 上 仅仅 是 根据 用 户 需 求 、 应 用 需求 计算 网 络 流量 的 一 个 示例 ， 由 于 不 同 
的 设计 人 员 采 用 的 需求 分 析 方式 和 表格 不 同 ， 其 计算 的 方法 也 不 同 ， 但 是 都 可 以 获取 网 络 层 流 
量 。 例 如 ， 有 些 设计 人 员 喜 欢 用 在 线 用 户 数量 、 每 个 在 线 用 户 的 平均 流量 来 进行 计算 ， 有 些 设 
计 人 员 喜 欢 用 应 用 的 用 户 每 秒 事 务 量 和 事务 量 大 小 来 计算 流量 ; 还 有 些 设计 人 员 会 考虑 峰值 情 
况 ， 并 以 峰值 速率 作为 设计 依据 ， 以 避免 网 络 在 峰值 时 段 出 现 拥塞 。 


4. 对 每 个 网 段 重 复 上 述 步 又 


对 每 个 网 段 重 复 上 述 步骤 ， 其 中 个 人 应 用 收集 的 信息 是 每 一 个 应 用 和 网 段 都 要 用 到 的 。 然 
后 ， 确 定 每 一 个 本 地 网 段 的 通信 量 以 及 该 网 段 对 整个 广域网 和 网 络 骨 干 的 通信 量 。 
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S. 分 析 广域网 和 网 络 骨 干 的 通信 流量 


通过 对 每 个 网 段 的 分 析 ， 除 了 形成 各 网 段 自身 的 通信 要 求 外 ， 还 可 以 形成 与 本 网 段 有 关 的 
广域网 、 骨 干 网 的 通信 要 求 。 在 不 同 网 络 工程 中 ， 用 户 对 广域网 拓扑 结构 的 要 求 和 建议 不 同 
即使 拓扑 相同 ， 但 信息 的 路 由 不 同 ， 所 以 对 于 网 络 设备 的 要 求 也 是 不 同 的 。 因 此 ， 对 广域网 和 
网 络 骨干 的 通信 流量 分 析 必 须 参考 用 户 意见 ， 并 且 应 当做 到 灵活 机 动 。 

通信 流量 计算 完成 后 ， 要 把 它们 整理 总 结 成 一 份 文件 ， 该 文件 将 成 为 最 终 的 通信 规范 说 明 
书 的 一 部 分 。 同 时 ， 用 这 些 新 的 信息 来 提高 当前 逻辑 网 络 图 的 质量 ， 标 明 广 播 域 、 冲 突 域 和 子 
网 的 边界 。 如 果 通 过 通信 流量 计算 ， 表 现 出 了 定向 通信 模式 ， 也 应 在 图 上 标 出 。 


12.5 ”逻辑 网 络 设计 


网 络 的 逻辑 结构 设计 来 自 于 用 户 需 求 中 描述 的 网 络 行为 和 性 能 等 要 求 。 人 逻辑 设计 要 根据 网 
络 用 户 的 分 类 和 分 布 来 选择 特定 的 技术 ， 形 成 特定 的 网 络 结构 。 网 络 结构 大 致 描述 了 设备 的 互 
联 及 分 布 ， 但 是 不 对 具体 的 物理 位 置 和 运行 环境 进行 确定 。 

惕 辑 设计 过 程 主要 由 以 下 4 个 步骤 组 成 。 

(1) 确定 迪 辑 设计 目标 。 

(2) 网 络 服务 评价 。 

(3) 技术 选项 评价 。 

(4) 进行 技术 决策 。 


12.5.1 逻辑 网 络 设计 目标 


好 辑 网 络 的 设计 目标 主要 来 自 于 需要 分 析 说 明 书 中 的 内 容 ， 尤 其 是 网 络 需求 部 分 ， 由 于 这 
部 分 内 容 直 接 体现 了 网 络 管理 部 门 和 人 员 对 网 络 设计 的 要 求 , 因此 需要 重点 考虑 。 一 般 情 况 下 ， 
风 辑 网 络 设计 的 目标 如 下 。 

(1) 合适 的 应 用 运行 环境 。 逻辑 网 络 设计 必须 为 应 用 系统 提供 环境 ， 并 可 以 保障 用 户 能 够 
顺利 地 访问 应 用 系统 。 

(2) 成 熟 而 稳定 的 技术 选 型 。 在 逻辑 网 络 设计 阶段 ， 应 该 选择 较为 成 熟 稳定 的 技术 ， 越 是 
大 型 的 项 目 ， 越 要 考虑 技术 的 成 熟 度 ， 以 避免 错误 投入 。 

(3) 合理 的 网 络 结构 。 合 理 的 网 络 结构 不 仅 可 以 减少 一 次 性 投资 ， 而 且 可 以 避免 网 络 建设 
中 出 现 各 种 复杂 问题 。 

(4) 合适 的 运营 成 本 。 轴 辑 网 络 设计 不 仅仅 决定 了 一 次 性 投资 ， 技 术 选 型 、 网 络 结构 也 直 
接 决 定 了 运营 维护 等 周期 性 投资 。 
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(5) 逻辑 网 络 的 可 扩充 性 能 。 网 络 设计 必须 具有 较 好 的 可 扩充 性 ， 以 便于 满足 用 户 增长 、 
应 用 增长 的 需要 ， 保 证 不 会 因为 这 些 增长 而 导致 网 络 重 构 。 

(6) 逻辑 网 络 的 易 用 性 。 网 络 对 于 用 户 是 透明 的 ， 网 络 设计 必须 保证 用 户 操作 的 单纯 性 ， 
过 多 的 技术 性 限制 会 导致 用 户 对 网 络 的 满意 度 降低 。 

(7) 逻辑 网 络 的 可 管理 性 。 对 于 网 络 管理 员 来 说 ， 网 络 必须 提供 高 效 的 管理 手段 和 途径 ， 
否则 不 仅 会 影响 管理 工作 本 身 ， 也 会 直接 影响 用 户 。 

(8) 逻辑 网 络 的 安全 性 。 网 络 安全 应 提倡 适度 安全 ， 对 于 大 多 数 网 络 来 说 ， 既 要 保证 用 户 
的 各 种 安全 需求 ， 又 不 能 给 用 户 带 来 太 多 限制 。 但 是 对 于 特殊 的 网 络 ， 必 须 采 用 较为 严密 的 网 
络 安全 措施 。 


12.5.2 需要 关注 的 问题 


1. 设计 要 素 


设计 工作 的 要 素 主 要 如 下 。 

(1) 用 户 需 求 。 

(2) 设计 限制 。 

(3) 现 有 网 络 。 

(4) 设计 目标 。 

逻辑 设计 过 程 就 是 根据 用 户 的 需求 ， 不 违背 设计 限制 ， 对 现 有 网 络 进行 改造 或 新 建 网 络 ， 
最 终 达 到 设计 目标 的 工作 。 


2. 设计 面临 的 冲突 


在 网 络 设计 工作 中 ， 设 计 目标 是 一 个 复杂 的 整体 ， 由 不 同 维度 的 子 目 标 构 成 。 这 些 子 目标 
独立 考虑 时 存在 较为 明显 的 优 劣 关 系 ， 例 如 : 

(1) 最 低 的 安装 成 本 。 

(2) 最 低 的 运行 成 本 。 

(3) 最 高 的 运行 性 能 。 

(4) 最 大 的 适应 性 。 

(5) 最 短 的 故障 时 间 。 

(6) 最 大 的 可 靠 性 。 

(7) 最 大 的 安全 性 。 

这 些 子 目 标 相 互 之 间 可 能 存在 冲突 ， 不 存在 一 个 网 络 设计 方案 ， 能 够 使 所 有 的 子 目标 都 达 
到 最 优 。 为 了 找到 较为 优秀 的 方案 ， 能 够 解决 这 些 子 目标 的 冲突 ， 可 以 采用 两 种 方法 : 第 一 种 
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方法 较为 传统 ， 由 网 络 管理 人 员 和 设计 人 员 一 起 建立 这 些 子 目 标 之 间 的 优先 级 ， 尽 量 让 优先 级 
比较 高 的 子 目 标 达到 较 优 :第 二 种 方法 是 对 每 种 子 目 标 建立 权重 ， 对 子 目标 的 取 值 范围 进行 量 
化 ， 通 过 评判 函数 决定 哪 种 方案 最 优 ， 而 子 目 标的 权重 关系 直接 体现 了 用 户 对 不 同 目标 的 关 
心 度 。 


3. 成 本 与 性 能 


成 本 与 性 能 是 最 为 常见 的 冲突 目标 ,一般 来 说 ， 网 络 设计 方案 的 性 能 越 高 ， 也 就 意味 着 更 
高 的 成 本 ， 包 括 建 设 成 本 和 运行 成 本 。 

在 设计 方案 时 ， 所 有 不 超过 成 本 限制 、 满 足 用 户 要 求 的 方案 都 称 为 可 行 方案 。 设 计 人 员 只 
能 从 可 行 方案 中 依据 用 户 对 性 能 和 成 本 的 喜好 进行 选择 。 

网 络 建设 的 成 本 分 为 一 次 性 投资 和 周期 性 投资 。 在 初期 建设 过 程 中 ， 如 何 合理 地 规划 一 次 
性 投资 的 支付 是 比较 关键 的 。 过 早 支付 费用 ， 容 易 造 成 建设 单位 的 风险 ， 对 于 未 按 设 计 方案 实 
施 的 情况 ， 无 法 形成 制约 机 制 ; 过 晚 支付 费用 ， 容 易 造成 承建 单位 的 资金 压力 ， 导 致 项 目 实施 
质量 等 多 方面 的 问题 。 较 为 合理 的 支付 方式 ， 必 须 是 依据 逻辑 网 络 设计 的 特点 将 网 络 工 程 划分 
为 各 个 阶段 ， 在 每 个 阶段 后 实施 验收 ， 并 支付 相应 的 阶段 费用 ， 在 工程 建设 完毕 并 试 运行 一 段 
时 间 后 才能 支付 最 后 的 质量 保证 费用 。 

对 于 运营 维护 等 周期 性 费用 的 支付 也 应 考虑 合理 性 ， 这 主要 体现 在 周期 划分 方式 、 支 付 方 
式 等 方面 。 


12.5.3 ”主要 的 网 络 服务 


网 络 设计 人 员 应 该 依据 网 络 提供 的 服务 要 求 来 选择 特定 的 网 络 技术 ， 不 同 的 网 络 ， 其 服务 
的 要 求 不 同 ， 但 是 对 于 大 多 数 网 络 来 说 ， 都 存在 着 两 个 主要 的 网 络 服务 一 一 网 络 管理 和 网 络 安 
全 ， 这 些 服务 在 设计 阶段 是 必须 考虑 的 。 


1. 网 络 管理 服务 


网 络 管理 可 以 根据 网 络 的 特殊 需要 ， 将 其 划分 为 几 个 不 同 的 大 类 ， 其 中 的 重点 内 容 是 网 络 
故障 诊断 、 网 络 的 配置 及 重 配 置 和 网 络 监视 。 

(1) 网 络 故障 诊断 。 网 络 故障 诊断 主要 借助 于 网 管 软件 、 诊 断 软件 和 各 种 诊断 工具 。 对 于 
不 同类 型 的 网 络 和 技术 ， 需 要 的 软件 和 工具 是 不 同 的 ， 应 在 设计 阶段 就 考虑 到 网 络 工程 中 各 种 
诊断 软件 和 工具 的 需要 。 

(2) 网 络 的 配置 及 重 配 置 。 网 络 的 配置 及 重 配置 是 网 络 管理 的 另 一 个 问题 ， 各 种 网 络 设备 
都 提供 了 多 种 配置 方法 ， 同 时 也 提供 了 配置 重新 装载 的 功能 。 在 设计 阶段 ， 考 虑 到 网 络 设备 的 
配置 保存 和 更 新 需要 ， 提 供 特定 的 配置 工具 以 及 配置 管理 工具 ， 对 于 方便 管理 人 员 的 工作 是 非 
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常 有 必要 的 。 
(3) 网 络 监视 。 网 络 监视 的 需求 随 着 网 络 规模 和 复杂 性 的 不 同 而 不 同 ， 网 络 监视 是 为 了 预 
防 灾难 ， 使 用 监视 服务 来 防止 和 监测 网 络 的 运行 情况 。 


2， 网 络 安全 


网 络 安全 系统 是 网 络 逻辑 设计 的 固有 部 分 ， 网 络 设计 者 可 以 采用 以 下 步骤 来 进行 安全 
设计 ; 

(1) 明确 需要 安全 保护 的 系统 。 首 先 要 明确 网 络 中 需要 重点 包括 的 关键 系统 ， 通 过 该 项 工 
作 ， 可 以 找 出 安全 工作 的 重点 ， 避 免 全 面 铺 开 而 又 无 法 面面俱到 的 局 面 。 

(2) 确定 潜在 的 网 络 弱点 和 漏洞 。 对 于 这 些 重 点 防护 的 系统 ， 必 须 通 过 对 这 些 系统 的 数据 
存储 、 协 议 传递 和 服务 方式 等 的 分 析 ， 找 出 可 能 存在 的 网 络 弱点 和 漏洞 。 在 设计 阶段 ， 应 依据 
工程 经 验 对 这 些 网 络 弱点 和 漏洞 设计 特定 的 防护 措施 ; 在 实施 阶段 , 再 根据 实施 效果 进行 调整 。 

(3) 尽量 简化 安全 。 安 全 设计 要 注意 简化 问题 ， 不 要 盲目 扩大 安全 技术 和 措施 的 重要 性 ， 
适当 采用 一 些 传统 而 有 效 、 成 本 低廉 的 安全 技术 来 提高 安全 性 是 非常 有 必要 的 。 

(4) 安全 制度 。 单纯 的 技术 措施 是 无 法 保证 网 络 的 整体 安全 的 , 必须 匹配 相应 的 安全 制度 。 
在 逻辑 设计 阶段 尚 不 能 制定 完备 的 安全 制度 ， 但 是 对 安全 制度 的 大 致 性 要 求 ， 包 括 培 训 、 操 作 
规范 和 保密 制度 等 框架 性 要 求 是 必须 明确 的 。 


12.5.4 ”技术 评价 

根据 用 户 的 需求 设计 逻辑 网 络 ， 选 择 正 确 的 网 络 技术 比较 关键 ， 在 进行 选择 时 应 考虑 以 下 
因素 。 

1. 通信 带宽 


所 选择 的 网 络 技术 必须 保证 足够 的 带宽 ， 能 够 为 用 户 访问 应 用 系统 提供 保障 。 在 进行 选择 
时 ， 不 能 仅 局 限于 现 有 的 应 用 要 求 ， 还 要 考虑 适当 的 带宽 增长 需求 。 


2. 技术 成 熟 性 


所 选择 的 网 络 技术 必须 是 成 熟 、 稳 定 的 技术 ， 有 些 新 的 应 用 技术 在 尚 没有 大 规模 投入 应 用 
时 还 存在 着 较 多 不 确定 因素 ， 而 这 些 不 确定 因素 将 会 为 网 络 建设 带 来 很 多 不 可 估量 的 损失 。 虽 
然 新 技术 的 自身 发 展 离 不 开工 程 应 用 ， 但 是 对 于 大 型 网 络 工程 来 说 ， 项 目 本 身 不 能 成 为 新 技术 
的 试验 田 。 因 此 ， 尽 量 使 用 较为 成 熟 、 拥 有 较 多 案例 的 技术 是 明智 的 选择 。 

同时 ， 在 面 对 技 术 变革 的 特殊 时 期 ， 可 以 采用 试点 的 方式 缩小 新 技术 的 应 用 范围 ， 规 避 技 
术 风 险 ， 待 技术 成 熟 后 再 进行 大 规模 应 用 。 
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3。 连接 服务 类 型 


连接 服务 类 型 是 逻辑 设计 时 必须 考虑 的 问题 ,传统 的 连接 服务 分 为 面向 连接 服务 与 非 连 接 
服务 ， 风 辑 设计 需要 在 无 连接 和 面向 连接 的 协议 之 间 进 行 权衡 。 

由 于 当前 广泛 应 用 的 网 络 协议 主要 是 TCP/IP 协议 族 ， 其 网 络 层 协 议 是 提供 非 连接 服务 的 
卫 协议 ， 因 此 选择 连接 服务 类 型 ， 主 要 是 对 卫 协议 底层 的 承载 协议 进行 选择 。 如 果 选 择 连 接 
服务 类 型 ， 则 可 以 选择 ATIM、SDH 等 协议 ， 如 果 选 择 非 连接 服务 类 型 ， 则 可 以 选择 以 太 网 等 
协议 。 不 同 的 网 络 工 程 ， 对 连接 服务 类 型 的 需求 不 同 ， 设 计 者 不 能 仅 局 限于 一 种 连接 服务 进行 
设计 。 

4. 可 扩充 性 


网 络 设计 者 的 设计 依据 是 较为 详细 的 需求 分 析 ， 但 是 在 选择 网 络 技术 时 不 能 仅 考虑 当前 的 
需求 , 而 忽视 未 来 的 发 展 。 在 大 多 数 情况 下 , 设计 人 员 都 会 在 设计 中 预 留 一 定 的 元 余 ， 在 带宽 、 
通信 容量 、 数 据 春 吐 量 和 用 户 并 发 数 等 方面 ， 网 络 实际 需要 和 设计 结果 之 间 的 比例 应 小 于 一 个 
特定 值 ， 以 便于 未 来 的 发 展 。 一 般 来 说 ， 这 个 值 位 于 709% 一 80% 之 间 ， 在 不 同 的 工程 中 ， 可 以 
根据 需要 进行 调整 。 


S， 高 投资 产 出 比 


选择 网 络 技术 最 关键 的 一 条 不 是 技术 的 扩展 性 、 高 性 能 ， 也 不 是 成 本 最 低 等 概念 ， 决 定 设 
计 和 网 络 管理 人 员 采 用 某 种 技术 的 最 关键 点 是 技术 的 投入 产 出 比 ， 尤 其 是 一 些 借助 于 网 络 来 实 
现 营 运 的 工程 ， 只 有 通过 投入 产 出 比分 析 才 能 最 后 决定 技术 的 使 用 。 


12.5.5” 风 辑 网 络 设计 的 工作 内 容 


逻辑 网 络 设计 工作 主要 包括 以 下 内 容 。 
(1) 网 络 结构 的 设计 。 

(2) 物理 层 技术 的 选择 。 

(3) 局 域 网 技术 的 选择 与 应 用 。 

(4) 广域网 技术 的 选择 与 应 用 。 

(5) 地 址 设计 和 命名 模型 。 

(6) 路 由 选择 协议 。 

(7) 网 络 管理 。 

(8) 网 络 安全 。 

(9) 逻辑 网 络 设计 文档 。 


~ 
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12.6 ”网 络 结构 设计 


传统 意义 上 的 网 络 拓扑 是 将 网 络 中 的 设备 和 节点 描述 成 点 ， 将 网 络 线路 和 链 路 描述 成 线 。 
用 于 研究 网 络 的 方法 ， 随 着 网 络 的 不 断 发 展 ， 单 纯 的 网 络 拓扑 结构 已 经 无 法 全 面 描述 网 络 。 因 
此 ， 在 好 辑 网 络 设计 中 ， 网 络 结构 的 概念 正在 取代 网 络 拓扑 结构 的 概念 成 为 网 络 设计 的 框架 。 

网 络 结构 是 对 网 络 进行 逻辑 抽象 ,描述 网 络 中 主要 连接 设备 和 网 络 计算 机 节点 分 布 所 形成 
的 网 络 主体 框架 ， 网 络 结构 与 网 络 拓扑 结构 的 最 大 区 别 在 于 : 在 网 络 拓 扑 结 构 中 只 有 点 和 线 ， 
不 会 出 现任 何 的 设备 和 计算 机 节点 。 网 络 结构 主要 是 描述 连接 设备 和 计算 机 节点 的 连接 关系 。 
由 于 当前 的 网 络 工程 主要 由 局 域 网 和 实现 局 域 网 互 连 的 广域网 构成 , 因此 可 以 将 网 络 工程 
中 的 网 络 结构 设计 分 成 局 域 网 结构 和 广域网 结构 两 个 设计 部 分 内 容 ， 其 中 ， 局 域 网 结构 主要 讨 
论 数据 链 路 层 的 设备 互 连 方式 ， 广 域 网 结构 主要 讨论 网 络 层 的 设备 互 连 方式 。 


12.6.1 ”局域网 结构 


当前 的 局 域 网 络 与 传统 意义 上 的 局 域 网 络 已 经 发 生 了 很 多 变化 ,传统 意义 上 的 局 域 网 络 只 
具备 二 层 通信 功能 ， 现 代 意义 上 的 局 域 网 络 不 仅 具 有 二 层 通信 功能 ， 同 时 具有 三 层 甚至 多 层 通 
信 的 功能 。 现 代 局 域 网 络 ， 从 某 种 意义 上 说 ， 被 称 为 园区 网 络 更 为 合适 。 以 下 是 在 进行 局 域 网 
络 设计 时 常见 的 局 域 网 络 结构 。 


1， 核 心 局 域 网 结构 


单 核心 局 域 网 结构 主要 由 一 台 核 心 二 层 或 三 层 交 换 设备 构建 局 域 网 络 的 核心 ， 通 过 多 台 接 
入 交换 机 接 入 计算 机 节点 ， 该 网 络 一 般 通过 与 核心 交换 机 互 连 的 路 由 设备 《路 由 器 或 防火 增 ) 
接 入 广域网 中 。 典 型 的 单 核心 结构 如 图 12-13 所 示 。 

对 单 核心 结构 分 析 如 下 。 

《1) 核心 交换 设备 在 实现 上 多 采用 二 层 、 三 层 交换 机 或 多 层 交 换 机 。 

(2》 如 采用 三 层 或 多 层 设 备 ， 可 以 划分 成 多 个 VLAN， 在 VLAN 内 只 进行 数据 链 路 层 由 
转发。 

(3) 网 络 内 各 VLAN 之 间 访 问 需 要 经 过 核心 交换 设备 ,并 且 只 能 通过 网 络 层 数据 包 转发 方 
式 实现 。 

(4) 网 络 中 除 核心 交换 设备 以 外 不 存在 其 他 的 带 三 层 路 由 功能 设备 。 

(5) 核心 交换 设备 与 各 VLAN 设备 可 以 采用 10M/100M/1000M 以 太 网 连接 。 

(6) 节省 设备 投资 

(7) 网 络 结构 简单 
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(8) 部 门 局 域 网 络 访问 核心 局 域 网 以 及 相互 之 间 访 问 效率 高 。 


yg 


服务 器 


> 
局 域 网 接 入 交换 机 局 域 网 接 入 交换 机 


人 人 包 8 


桌面 用 户 桌面 用 户 
图 12-13 单 核心 局 域 网 结构 


(9) 在 核心 交换 设备 端口 富余 的 前 提 下 ， 部 门 网 络 接 入 较为 方便 。 

(10) 网 络 地 理 范围 小 ， 要 求 部 门 网 络 分 布 比较 紧凑 。 

(11) 核心 交换 机 是 网 络 的 故障 单 点 ， 容 易 导致 整 网 失效 。 

(12) 网 络 的 扩展 能 力 有 限 。 

(13) 对 核心 交换 设备 的 端口 密度 要 求 较 高 。 

(14) 除非 规模 较 小 的 网 络 ， 否 则 桌面 用 户 不 直接 与 核心 交换 设备 相连 ， 也 就 是 核心 交换 
机 与 用 户 计算 机 之 问 应 存在 接 入 交换 机 。 


2. 双核 心 局 域 网 结构 


双核 心 结构 主要 由 两 台 核心 交换 设备 构建 局 域 网 核心 ， 该 网 络 一 般 也 是 通过 与 核心 交换 机 
互 连 的 路 由 设备 接 入 广域网 ， 并 且 路 由 器 与 两 台 核心 交换 设备 之 间 都 存在 物理 链 路 。 典 型 的 双 
核心 结构 如 图 12-14 所 示 。 

对 双核 心 结构 分 析 如 下 。 

(1) 核心 交换 设备 在 实现 上 多 采用 三 层 交换 机 或 多 层 交 换 机 。 

(2) 网 络 内 各 VLAN 之 间 访 问 需 要 经 过 两 台 核 心 交 换 设备 中 的 一 台 。 

(3) 网 络 中 除 核心 交换 设备 以 外 不 存在 其 他 的 具备 路 由 功能 的 设备 。 

(4) 核心 交换 设备 之 间 运 行 特定 的 网 关 保护 或 负载 均衡 协议 ， 例 如 HSRP、VRRP 和 
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GLBP 等 。 
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图 12-14 ”双核 心 局 域 网 结构 


局 域 网 接 入 交换 机 


(5) 核心 交换 设备 与 各 VLAN 设备 间 可 以 采用 10M/100M/1000M 以 太 网 连接 。 

(6) 网 络 拓扑 结构 可 靠 。 

(7) 路 由 层面 可 以 实现 无 颖 热切 换 。 

(8) 部 门 局 域 网 络 访问 核心 局 域 网 以 及 相互 之 间 多 条 路 径 选 择 可 靠 性 更 高 。 

(9) 在 核心 交换 设备 端口 富余 的 前 提 下 ， 部 门 网 络 接 入 较为 方便 。 

(10) 设备 投资 比 单 核心 高 。 

(11) 对 核心 路 由 设备 的 端口 密度 要 求 较 高 。 

(12) 核心 交换 设备 和 桌面 计算 机 之 间 存 在 接 入 交换 设备 ， 接 入 交换 设备 同时 和 双核 心 存 
在 物理 连接 。 

(13) 所 有 服务 器 都 直接 同时 连接 至 两 台 核心 交换 机 ， 借 助 于 网 关 保护 协议 ， 实 现 桌面 用 
户 对 服务 器 的 高 速 访 问 。 

3， 环 型 局 域 网 结构 

环 型 局 域 网 结构 由 多 台 核 心 三 层 设备 连接 成 双 RPR 动态 弹性 分 组 环 , 构建 整个 局 域 网 络 的 
核心 ， 该 网 络 通过 与 环 上 交换 设备 互 连 的 路 由 设备 接 入 广域网 络 。 

典型 的 环 型 结构 如 图 12-15 所 示 。 

对 环 型 结构 分 析 如 下 。 
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图 12-15 环 型 局 域 网 结构 


(1) 核心 交换 设备 在 实现 上 多 采用 三 层 交 换 机 或 多 层 交 换 机 。 

(2) 网 络 内 各 VLAN 之 间 访 问 需 要 经 过 RPR 环 。 

(3) RPR 技术 能 提供 MAC 层 的 50ms 自 愈 时 间 ， 能 提供 多 等 级 、 可 靠 的 QoS 服务 。 

(4) RPR 有 自 愈 保护 功能 ， 节 省 光纤 资源 。 

(5) RPR 协议 中 没有 提 及 相交 环 、 相 切 环 等 组 网 结构 ， 当 利用 RPR 组 建 大 型 城 域 网 时 ， 
多 环 之 间 只 能 利用 业务 接口 进行 互通 , 不 能 实现 网 络 的 直接 互通 , 因此 它 的 组 网 能 力 相 对 SDH、 
MSTP 较 弱 。 

(6) 由 两 根 反 向 光纤 组 成 环 型 拓扑 结构 。 其 中 ， 一 根 顺 时 针 ， 一 根 逆 时 针 ， 革 点 在 环 上 可 
以 从 两 个 方向 到 达 另 一 节点 。 每 根 光纤 可 以 同时 用 来 传输 数据 和 同 向 控制 信号 , RPR 环 双向 可 用 。 

(7) 利用 空间 重用 技术 实现 空间 重用 ， 使 环 上 的 带宽 得 到 更 为 有 效 的 利用 。RPR 技术 具有 
空间 复 用 、 环 自 愈 保护 、 自 动 拓扑 识别 、 多 等 级 QoS 服务 、 带 宽 公 平 机 制 和 拥塞 控制 机 制 、 物 
理 层 介质 独立 等 特点 。 

(8) 设备 投资 比 单 核心 高 。 

(9) 核心 路 由 的 元 余 设计 ， 难 度 较 高 ， 容 易 形 成 路 由 环 路 。 


4. 层次 局 域 网 结构 


层次 结构 主要 定义 了 根据 不 同 功能 要 求 将 局 域 网 络 划分 层次 构建 的 方式 ， 从 功能 上 定义 为 
核心 层 、 汇 聚 层 和 接 入 层 。 层 次 局 域 网 一 般 通 过 与 核心 层 设备 互 连 的 路 由 设备 接 入 广域网 络 。 
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典型 的 层次 结构 如 图 12-16 所 示 。 
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图 12-16 层次 局 域 网 结构 


对 层次 结构 分 析 如 下 。 

(1) 核心 层 实现 高 速 数据 转发 。 

(2) 汇聚 层 实现 丰富 的 接口 和 接 入 层 之 间 的 互 访 控制 。 
(3) 接 入 层 实现 用 户 接 入 。 

(4) 网 络 拓扑 结构 故障 定位 可 分 级 ， 便 于 维护 。 

(5) 网 络 功能 清晰 ， 有 利于 发 挥 设备 的 最 大 效率 。 
(6) 网 络 拓 上 扑 有 利于 扩展 。 


12.6.2 ”层次 化 网 络 设计 


1. 层次 化 网 络 设计 模型 


层次 化 网 络 设计 模型 可 以 帮助 设计 者 按 层 次 设计 网 络 结构 ， 并 对 不 同 层次 赋予 特定 的 功 
能 ， 为 不 同 层次 选择 正确 的 设备 和 系统 。 一 个 典型 的 层次 化 网 络 结构 包括 以 下 特征 。 

(1) 由 经 过 可 用 性 和 性 能 优化 的 高 端 路 由 器 和 交换 机 组 成 的 核心 层 。 

(2) 由 用 于 实现 策略 的 路 由 器 和 交换 机 构成 的 汇聚 层 。 
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(3) 由 用 于 连接 用 户 的 低 端 交换 机 等 构成 的 接 入 层 。 

在 上 述 网 络 结构 介绍 中 , 层次 局 域 网 结构 和 层次 广域网 结构 就 是 层次 化 网 络 设计 模型 分 别 
在 局 域 网 和 广域网 设计 中 的 应 用 。 随 着 用 户 不 断 增多 ， 网 络 复杂 度 不 断 增 大 ， 层 次 化 网 络 设计 
模型 成 为 位 于 网 络 主流 的 园区 网 络 的 经 典 模型 。 

采用 层次 化 网 络 设计 模型 进行 设计 工作 ， 具 有 以 下 优点 。 

(1) 使 用 层次 化 模型 可 以 使 网 络 成 本 降 到 最 低 , 通过 在 不 同 层次 设计 特定 的 网 络 互 连 设备 ， 
可 以 避免 为 各 层 中 不 必要 的 特性 花费 过 多 的 资金 。 层 次 化 模型 可 以 在 不 同 层次 进行 更 精细 的 容 
量规 划 ， 从 而 减少 贷款 浪费 。 同 时 ， 层 次 化 模型 可 以 使 网 络 管理 产生 层次 性 ， 不 同 层次 的 网 络 
运行 管理 人 员 的 工作 职责 也 不 同 ， 培 训 规模 和 管理 成 本 也 不 同 ， 从 而 减少 控制 管理 成 本 。 

(2) 层次 化 设计 模型 在 设计 中 可 以 采用 不 同 层 次 上 的 模块 化 ， 模 块 就 是 层次 上 的 设备 及 连 
接 集合 ， 这 使 得 每 个 设计 元 素 简化 并 易于 理解 ， 并 且 网 络 层次 间 交 界 点 也 很 容易 识别 ， 使 得 故 
障 隔离 得 到 提高 ， 保 证 了 网 络 的 稳定 性 。 

(3) 层次 化 设计 使 网 络 的 改变 变 得 更 加 容易 ， 当 网 络 中 的 一 个 网 元 需要 改变 时 ， 升 级 的 成 
本 限制 在 整个 网 络 中 很 小 的 一 个 子 集中 ， 对 网 络 的 整体 影响 达到 最 小 。 


2， 三 层 模型 


层次 化 模型 中 最 为 经 典 的 是 三 层 模 型 ， 该 模型 允许 在 3 个 层次 的 路 由 或 交换 层 上 实现 流量 
汇聚 和 过 滤 ， 这 使 得 三 层 模 型 的 规模 可 以 从 中 小 型 公司 的 网 络 扩充 到 大 型 的 国际 因特网 络 。 

三 层 模型 主要 将 网 络 划分 为 核心 层 、 汇 聚 层 和 接 入 层 ， 每 一 层 都 有 着 特定 的 作用 。 核 心 层 
提供 不 同 区 域 或 者 下 层 的 高 速 连接 和 最 优 传送 路 径 ， 汇聚 层 将 网 络 业务 连接 到 接 入 层 ， 并 且 实 
施 与 安全 、 流 量 负载 和 路 由 相关 的 策略 ， 接 入 层 为 局 域 网 接 入 广域网 或 者 终端 用 户 访问 网 络 提 
供 接 入 。 

(1) 核心 层 设 计 要 点 。 核 心 层 是 因特网 络 的 高 速 骨干 ， 由 于 其 重要 性 ， 在 设计 中 应 该 采用 
宛 余 组 件 设计 ， 使 其 具备 高 可 靠 性 ， 能 快速 适应 变化 。 

在 设计 核心 层 设备 的 功能 时 ， 应 尽量 避免 使 用 数据 包 过 滤 、 策 略 路 由 等 降低 数据 包 转 发 处 
理 的 特性 ， 以 优化 核心 层 获得 低 延迟 和 良好 的 可 管理 性 。 

核心 层 应 具有 有 限 的 和 一 致 的 范围 ， 如 果 核 心 层 覆 盖 的 范围 过 大 ， 连 接 的 设备 过 多 ， 必 然 
引起 网 络 的 复杂 度 加 大 ， 导 致 网 络 管理 性 降低 。 同 时 ， 如 果 核 心 层 覆 盖 的 范围 不 一 致 ， 必 然 导 
致 大 量 处 理 不 一 致 情况 的 功能 都 在 核心 层 网 络 设备 中 实现 ， 会 降低 核心 网 络 设备 的 性 能 。 

对 于 需要 连接 因特网 和 外 部 网 络 的 网 络 工程 来 说 ,核心 层 应 包括 一 条 或 多 条 连接 到 外 部 网 
络 的 连接 ， 这 样 可 以 实现 外 部 连接 的 可 管理 性 和 高 效 性 。 

(2) 汇聚 层 设计 要 点 。 汇 聚 层 是 核心 层 和 接 入 层 的 分 界 点 ， 应 尽量 将 出 于 安全 性 原因 对 资 
源 访问 的 控制 、 出 于 性 能 原因 对 通过 核心 层 流 量 的 控制 等 都 在 汇聚 层 实施 。 
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为 了 保证 层次 化 的 特性 ， 汇 聚 层 应 该 向 核心 层 隐藏 接 入 层 的 详细 信息 ， 例 如 ， 不 管 接 入 层 
划分 了 多 少 个 子 网 ， 汇 聚 层 向 核心 层 路 由 器 进行 路 由 宣告 时 ， 仅 会 宣告 多 个 子 网 地 址 汇聚 而 形 
成 的 一 个 网 络 。 另 外 ， 汇 聚 层 也 会 对 接 入 层 屏蔽 网 络 其 他 部 分 的 信息 ， 例 如 汇聚 层 路 由 器 可 以 
不 向 接 入 路 由 器 宣告 其 他 网 络 部 分 的 路 由 ， 而 仅仅 向 接 入 设备 宣告 自己 是 默认 路 由 。 

为 了 保证 核心 层 连接 运行 不 同 协议 的 区 域 ， 各 种 协议 的 转换 都 应 在 汇聚 层 完成 。 例 如 ， 局 
域 网 络 中 运行 了 传统 以 太 网 和 弹性 分 组 环 网 的 不 同 汇聚 区 域 ， 运行 了 不 同 路 由 算法 的 区 域 ， 可 
以 借助 于 汇聚 层 设备 完成 路 由 的 汇总 和 重新 发 布 。 

(3) 接 入 层 设计 要 点 。 接 入 层 为 用 户 提供 了 在 本 地 网 段 访问 应 用 系统 的 能 力 ， 接 入 层 要 解 
决 相 邻 用 户 之 间 的 互 访 需 要 ， 并 且 为 这 些 访问 提供 足够 的 带宽 。 

接 入 层 还 应 该 适当 负责 一 些 用 户 管理 功能 ， 包 括 地 址 认证 、 用 户 认证 和 计 费 管理 等 内 容 。 

接 入 层 还 负责 一 些 信息 的 用 户 信息 收集 工作 ， 例 如 用 户 的 下 地 址 、MAC 地 址 和 访问 日 志 
等 信息 。 


3. 层次 化 设计 的 原则 


层次 化 网 络 设计 应 该 遵循 一 些 简 单 的 原则 , 这 些 原则 可 以 保证 设计 出 来 的 网 络 更 加 具有 层 
次 的 特性 。 

(1) 在 设计 时 ， 设 计 者 应 该 尽量 控制 层次 化 的 程度 ， 一 般 情况 下 ， 有 核心 层 、 汇 聚 层 和 接 
入 层 3 个 层次 就 是 够 了 ， 过 多 的 层次 会 导致 整体 网 络 性 能 的 下 降 ， 并 且 会 提高 网 络 的 延迟 ， 同 
时 也 不 方便 网 络 故 障 排 查 和 文档 编写 。 

(2) 在 接 入 层 应 当 保持 对 网 络 结构 的 严格 控制 ， 接 入 层 的 用 户 总 是 为 了 获得 更 大 的 外 部 网 
络 访问 带宽 而 随意 申请 其 他 的 渠道 访问 外 部 网 络 ， 这 是 不 允许 的 。 

(3) 为 了 保证 网 络 的 层次 性 , 不 能 在 设计 中 随意 加 入 额外 连接 ,额外 连接 是 指 打破 层次 性 ， 
在 不 相 邻 层 间 的 连接 ， 这 些 连 接 会 导致 网 络 中 的 各 种 问题 ， 例 如 缺乏 汇聚 层 的 访问 控制 和 数据 
报 过 滤 等 。 

(4) 在 进行 设计 时 ， 应 当 首先 设计 接 入 层 ， 根 据 流量 负载 、 流 量 和 行为 的 分 析 对 上 层 进行 
更 精细 的 容量 规划 ， 再 依次 完成 各 上 层 的 设计 。 

(5) 除了 接 入 层 的 其 他 层次 以 外 ， 应 尽量 采用 模块 化 方式 ， 每 个 层次 由 多 个 模块 或 者 设备 
集合 构成 ， 每 个 模块 间 的 边界 应 非常 清晰 。 


12.6.3 ”网 络 元 余 设 计 
网 络 元 余 设计 允许 通过 设置 双重 网 络 元 素来 满足 网 络 的 可 用 性 需求 , 元 余 降低 了 网 络 的 单 
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点 失效 ， 其 目标 是 重复 设置 网 络 组 件 ， 以 避免 单个 组 件 的 失效 而 导致 应 用 失效 。 这 些 组 件 可 以 
是 一 台 核 心路 由 器 、 交 换 机 ， 可 以 是 两 台 设备 间 的 一 条 链 路 ， 可 以 是 一 个 广域网 连接 ， 可 以 是 
电源 、 风 扇 和 设备 引擎 等 设备 上 的 模块 。 对 于 某 些 大 型 网 络 来 说 ,为 了 确保 网 络 中 的 信息 安全 ， 
在 独立 的 数据 中 心 之 外 还 设置 了 元 余 的 容 灾 备份 中 心 ， 以 保证 数据 备份 或 者 应 用 在 故障 下 的 
切换 。 

在 网 络 元 余 设 计 中 ， 对 于 通信 线路 常见 的 设计 目标 主要 有 两 个 : 一 个 是 备用 路 径 ， 另 外 一 
个 是 负载 分 担 。 


1. 备用 路 径 


备用 路 径 主 要 是 为 了 提高 网 络 的 可 用 性 。 当 一 条 路 径 或 者 多 条 路 径 出 现 故障 时 ， 为 了 保障 
网 络 的 连通 ， 网 络 中 必须 存在 兄 余 的 备用 路 径 。 备 用 路 径 由 路 由 器 、 交 换 机 等 设备 之 间 的 独立 
备用 链 路 构成 ， 一 般 情况 下 ， 备 用 路 径 仅仅 在 主 路 径 失 效 时 投入 使 用 。 

在 设计 备用 路 径 时 主要 考虑 以 下 因素 。 

(1) 备用 路 径 的 带宽 。 备 用 路 径 带 宽 的 依据 ， 主 要 是 网 络 中 重要 区 域 、 重 要 应 用 的 带宽 需 
要 ， 设 计 人 员 要 根据 主 路 径 失效 后 哪些 网 络 流量 不 能 中 断 来 形成 备用 路 径 的 最 小 带宽 需求 。 

(2) 切换 时 间 。 切 换 时 间 是 指 从 主 路 径 故 障 到 备用 路 径 投入 使 用 的 时 间 ， 切 换 时 间 主 要 取 
决 于 用 户 对 应 用 系统 中 断 服务 时 间 的 容忍 度 。 

(3) 非 对 称 。 备 用 路 径 的 带宽 比 主 路 径 的 带宽 小 是 正常 的 设计 方法 ， 由 于 备用 路 径 在 大 多 
数 情况 下 并 不 投入 使 用 ， 过 大 的 带宽 容易 造成 浪费 。 

(4) 自动 切换 。 在 设计 备用 路 径 时 ， 应 尽量 采用 自动 切换 方式 ， 避 免 使 用 手工 切换 。 

(5) 测试 。 备 用 路 径 由 于 长 期 不 投入 使 用 ， 对 线路 、 设 备 上 存在 的 问题 不 容易 发 现 ， 应 设 
计 定 期 的 测试 方法 ， 以 便于 及 时 发 现 问题 。 

2. 负载 分 担 


负载 分 担 通 过 元 余 的 形式 来 提高 网 络 的 性 能 ， 是 对 备用 路 径 方式 的 扩充 。 负 载 分 担 通 过 并 
行 链 路 提供 流量 分 担 来 提高 性 能 ， 其 主要 的 实现 方法 是 利用 两 个 或 多 个 网 络 接口 和 路 径 来 同时 
传递 流量 。 

关于 负载 分 担 ， 在 设计 时 主要 考虑 以 下 因素 。 

(1) 当 网 络 中 存在 备用 路 径 、 备 用 链 路 时 ， 可 以 考虑 加 入 负载 分 担 设计 。 

(2) 对 于 主 路 径 、 备 用 路 径 都 相同 的 情况 ， 可 以 实施 负载 分 担 的 特例 一 一 负载 均衡 ， 也 就 
是 多 条 路 径 上 的 流量 是 均衡 的 。 

(3) 对 于 主 路 径 、 备 用 路 径 不 相同 的 情况 ， 可 以 采用 策略 路 由 机 制 ， 让 一 部 分 应 用 的 流量 
分 挫 到 备用 路 径 上 。 
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(4) 在 路 由 算法 的 设计 上 ， 大 多 数 设备 制造 厂商 实现 的 路 由 算法 都 能 够 在 相同 带宽 的 路 径 
上 实现 负载 均衡 ,甚至 于 部 分 特殊 的 路 由 算法 , 例如 在 IGRP 和 增强 IERP 中 , 可 以 根据 主 路 径 
和 备用 路 径 的 带宽 比例 实现 负载 分 担 。 


12.6.4 “广域网 络 技术 


随 着 网 络 规模 的 不 断 发 展 ， 网 络 用 户 的 流动 性 和 地 域 分 散 特性 不 断 增加 。 远 程 企业 用 户 需 
要 借助 于 特殊 的 接 入 方式 实现 对 企业 网 络 的 访问 ， 而 城市 的 网 络 用 户 也 需要 借助 于 同样 的 技术 
实现 对 因特网 络 的 访问 ， 因 此 这 些 特殊 的 技术 主要 应 用 于 城 域 网 络 ， 可 以 被 称 为 城 域 网 远程 接 
入 技术 。 


1. 传统 的 PSTN 接 入 技术 


PSTN 接 入 技术 是 较为 经 典 的 远程 连接 技术 ， 通 过 在 客户 计算 机 和 远程 的 拨号 服务 器 之 间 
分 别 安装 调制 解 调 器 实现 数字 信号 在 模拟 语音 信道 上 的 调制 , 通过 公用 电话 网 (PSTN) 完成 数 

PSTN 接 入 的 传输 速率 较 低 ， 目 前 常见 的 速率 是 33.6kbps 或 者 56kbps。 其 中 33.6kbps 双向 
传输 速率 相同 ,而 56kbps 双向 传输 速率 不 均衡 ， 上 行为 33.6kbps。 下 行为 56kbps。 同时, PSTN 
的 接 入 速率 还 要 受 调制 解 调 器 性 能 和 电话 线路 质量 的 影响 。 

PSTN 接 入 技术 主要 使 用 两 种 协议 ， 分 别 为 PPP 和 SLIP， 其 中 ，SLIP 只 能 为 TCP/IP 协议 
提供 传输 通道 ， 而 PPP 可 以 为 多 种 网 络 协议 族 提供 传输 通道 。 因 此 ，PPP 协议 也 是 应 用 最 广 的 
协议 。 

设计 PPP 协议 时 需要 考虑 到 口令 认证 机 制 ，PPP 协议 支持 两 种 类 型 的 认证 机 制 ， 分 别 为 口 
令 认 证 协议 (PAP) 和 应 答 握手 认证 协议 (CHAP)。 其 中 ，PAP 协议 在 进行 认证 时 用 户 的 口令 
以 明文 方式 进行 传递 ,而 CHAP 则 利用 三 次 握手 和 一 个 临时 产生 的 可 变 应 答 值 来 验证 远程 节点 ， 
因此 ， 在 实际 应 用 中 应 尽量 使 用 CHAP 作为 PPP 协议 的 认证 机 制 。 

在 设计 PSTN 接 入 时 ， 需 要 在 网 络 中 添加 远程 访问 服务 器 (RAS)， 通 常 是 带 有 拨号 服务 
功能 的 路 由 器 。 这 些 路 由 器 可 以 配置 内 置 Modem 的 拨号 模块 ， 也 可 以 通过 普通 模块 连接 外 置 
Modem 池 实 现 。RAS 除了 可 以 在 自身 存储 静态 的 用 户 名 和 密码 之 外 ， 还 可 以 借助 于 RADIUS、 
TACACS 等 服务 完成 对 动态 用 户 与 口令 库 的 访问 ， 如 图 12-17 所 示 。 


2 综合 业务 数据 网 


综合 业务 数据 网 (ISDN) 是 由 地 区 电话 服务 供应 商 提供 的 数字 数据 传输 业务 ， 支 持 在 电 
话 线 上 传输 文本 、 图 像 、 视 频 、 音 乐 、 语 音 和 其 他 的 媒体 数据 。 在 ISDN 上 使 用 PPP 协议 ， 以 
实现 数据 封装 、 链 路 控制 、 口 令 认 证 和 协议 加 载 等 功能 。 
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电话 线路 | 由 以 太 网 络 线路 


2 拨号 路 由 器 框架 
= 内 置 Modem 模 块 
一 外 置 Modem 模 块 


内 部 网 交换 机 
一 -一 外 置 Modem 池 


外 置 Modem 


图 12-17 PSTN 接 入 


ISDN 提供 的 电路 包括 64kbps 的 承载 用 户 信息 信道 〈B 信道 ) 和 承载 控制 信息 信道 (D 信 
道 )， 同 时 ISDN 提供 了 两 种 用 户 接口 ， 分 别 为 基本 速率 接口 和 基 群 速率 接口 。 

基本 速率 接口 主要 用 于 个 人 用 户 的 远程 接 入 ， 基 群 速率 接口 主要 用 于 企业 或 者 团体 的 接 
入 ， 如 图 12-18 所 示 。 在 个 人 接 入 中 ， 通 过 运营 商 端 ISDN 交换 机 提供 的 接口 实现 计算 机 信号 
和 语音 信号 的 分 离 ， 计 算 机 信号 通过 PRI 接口 经 路 由 器 进入 网 络 ; 在 企业 接 入 中 ， 两 端的 路 由 
器 通过 带 有 PRI 接口 的 路 由 器 互 连 ， 完 成 了 两 个 网 络 的 连接 。 


> 问 > 信 


六 重度 依 


内 置 PRI 接 口 
路 由 器 


图 12-18 ISDN 接 入 
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3. 线 缆 调 制 解 调 器 接 入 


线 缆 调制 解 调 器 运行 在 有 线 电 视 (CATV) 使 用 的 同 轴 电线 上 ， 可 以 提供 比 传统 电话 线 更 
高 的 传输 速率 ,典型 的 CATV 网 络 系统 提供 25 一 50Mbps 的 下 行 带 宽 和 2 一 3Mbps 的 上 行 带宽 。 
同时 ， 线 线 调制 解 调 器 的 另 一 个 优势 是 不 需要 拨号 就 能 实现 远程 站 点 访问 。 

线 绕 调制 解 调 器 需要 对 传统 的 单 向 CATV 网 络 进 行 双向 改造 形成 数字 业务 网 络 , 可 以 采用 
双 缆 方式 (一 根 上 行 、 一 根 下 行 》 和 单线 方式 高 频 下 行 、 低 频 上 行 )。 运 营 商 通常 采用 混合 
光纤 / 铜 缆 (Hybrid Fiber/Coax，HFC) 系统 将 CATV 网 络 和 运营 商 的 高 速 光 纤 网 络 连接 在 一 起 。 
HFC 系统 使 用 户 能 将 计算 机 或 者 小 型 局 域 网 连接 到 用 户 的 同 轴 电 缆 上 高 速 地 访问 因特网 或 使 
用 VPN 软件 接 入 到 企业 网 络 。 

使 用 线 缆 调 制 解 调 器 远程 接 入 必须 依赖 于 运营 商 一 端的 线 缆 调 制 解 调 器 终结 设备 
(CCMTS)， 该 设备 向 大 量 的 线 缆 调 制 解 调 器 提供 高 速 连接 。 多 数 运营 商都 会 借助 于 通用 的 宽带 
路 由 器 来 实现 CMTS 功能 ， 这些 路 由 器 安装 在 运营 商 的 电缆 服务 头 端 ， 同 时 提供 计算 机 网 络 和 
PSTN 网 络 的 连接 。 

如 图 12-19 所 示 ，CMTS 的 以 太 口 可 以 直接 与 以 太 网 相连 ， 同 时 通过 中 继 线 路 连接 PSTN 
网 络 ， 将 双向 的 网 络 和 语音 信号 调制 形成 上 行 和 下 行 的 模拟 信号 ， 单 向 的 有 线 电视 下 行 信号 以 
频 分 复 用 合 入 下 行 信号 中 。 在 HFC 区 域 中 , 借助 于 光 收 发 器 、 光 电 转 换 器 等 设备 完成 信号 的 中 
继 和 传递 ,通常 光纤 采用 双 纤 ， 电 缆 采 用 单线 ， 客 户 端 采用 Cable Modem 相连 ， 并 分 解 出 有 线 
电视 、 计 算 机 网 络 和 电话 信号 。 


4. 数字 用 户 线路 远程 接 入 


数字 用 户 线路 (Digital Subscriber Line，DSL) 允许 用 户 在 传统 的 电话 线 上 提供 高 速 的 数据 
传输 ， 用 户 计算 机 借助 于 DSL 调制 解 调 器 连接 到 电话 线 上 ， 通 过 DSL 连接 访问 因特网 络 或 者 
企业 网 络 。 
DSL 采用 尖端 的 数字 调制 技术 ,可 以 提供 比 ISDN 快 得 多 的 速率 ,其 实际 速率 取决 于 DSL 
的 业务 类 型 和 很 多 物理 层 因素 ， 例 如 电话 线 的 长 度 、 线 径 、 串 扰 和 噪音 等 。 
DSL 技术 存在 多 种 类 型 ， 以 下 是 常见 的 技术 类 型 。 
。 ADSL: 非 对 称 DSL, 用 户 的 上 、 下 行 流量 不 对 称 , 一 般 具有 3 个 信道 , 分 别 为 1.544 一 
9Mbps 的 高 速 下 行 信道 ，16 一 640kbps 的 双 工 信道 ，64kbps 的 语音 信道 。 
。 SDSL: 对 称 DSL， 用 户 的 上 、 下 行 流量 对 等 ， 最 高 可 以 达到 1.544Mbps。 
。 ISDN DSL: 介 于 ISDN 和 DSL 之 间 ， 可 以 提供 最 远 距离 为 4600 一 5500m 的 128kbps 
双向 对 称 传输 。 
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主 CMTS 


大 型 城市 网 络 


计算 机 网 络 
或 因特网 


语音 中 


光电 转换 器 


电视 机 
计算 机 用 广 家 庭 


图 12-19 线 费 调 制 解 调 器 远程 接 入 


。 HDSL: 高 比特 率 DSL, 是 在 两 个 线 对 上 提供 1.544Mbps 或 在 三 个 线 对 上 提供 2.048Mbps 
对 称 通 信 的 技术 , 其 最 大 特点 是 可 以 运行 在 低 质量 线路 上 , 最 大 距离 为 3700 一 4600m。 

。 VDSL: 其 高 比特 率 DSL， 一 种 快速 非 对 称 DSL 业务 ， 可 以 在 一 对 电话 线 上 提供 数据 
和 语音 业务 。 
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在 这 些 技术 中 ，ADSL 的 应 用 范围 最 广 ， 已 经 成 为 城 域 网 接 入 的 主要 技术 。 

ADSL 接 入 需要 的 设备 有 接 入 设备 〈 局 端 设 备 DSLAM 和 用 户 端 设备 ATU-R)、 用 户 线路 
和 管理 服务 器 。 其 中 , DSLAM 作为 ADSL 的 局 端 收发 传送 设备 , 主要 由 运营 商 提供 , 为 ADSL 
用 户 端 提供 接 入 和 集中 复 用 功能 ， 同 时 提供 不 对 称 数据 流 的 流量 控制 ， 用 户 可 以 通过 DSLAM 
接 入 到 了 P 等 数据 网 和 传统 的 语音 电话 网 ;用户 端 设备 ATU-R 实现 POTS 语音 与 数据 的 分 离 ， 
完成 用 户 端 ADSL 数据 的 接收 和 发 送 ， 即 ADSL Modem。ADSL 采用 双 绞 线 作 为 承载 媒介 ， 语 
音 与 数据 信号 同时 承载 在 双 绞 线 上 , 无 须 对 现 有 的 用 户 线路 进行 改造 , 有 利于 宽带 业务 的 扩展 。 
管理 服务 器 主要 是 宽带 接 入 服务 器 (BRAS)， 除 了 能 够 提供 ADSL 用 户 接 入 的 终结 、 认 证 、 计 
费 和 管理 等 基本 BRAS 业务 外 ， 还 可 以 提供 防火 墙 、 安 全 控制 、NAT 转换 、 带 宽 管理 和 流量 控 
制 等 网 络 业务 管理 功能 ， 如 图 12-20 所 示 。 


图 12-20 ADSL 接 入 


2 
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在 选择 城 域 网 远程 接 入 技术 时 , 主要 是 依据 现 有 城 域 网 的 建设 情况 , 并 适当 考虑 租用 经 费 。 
一 般 来 说 ， 城 域 网 的 远程 接 入 主要 是 由 电信 运营 商 提供 ， 设 计 人 员 需 要 根据 远程 用 户 的 分 布 、 
用 户 是 否 需 要 形成 专用 网 络 、 运 营 商 的 线路 铺设 和 租赁 费用 等 情况 ， 与 电信 运营 商 技术 服务 人 
员 进行 协商 和 讨论 ， 形 成 最 终 接 入 方案 。 


12.6.5 “广域网 互 连 技术 


1， 数 字数 据 网 


数字 数据 网 络 (Digital Data Network，DDN) 是 一 种 利用 数字 信道 提供 数据 信号 传输 的 数 
据 传输 网 ， 是 一 个 半 永 久 性 连接 电路 的 公共 数字 数据 传输 网 络 ， 为 用 户 提供 了 一 个 高 质量 、 高 
带宽 的 数字 传输 通道 。 

DDN 采用 同步 时 分 复 用 ， 对 各 层 协议 透明 ， 因 此 DDN 支持 任何 的 传输 规程 ，DDN 不 具 
备 交 换 功能 ， 以 点 对 点 方式 实现 半 永 久 性 的 电路 连接 ,传输 延 时 小 ; DDN 采用 数字 信道 传输 数 
据 信 号 ， 与 传输 的 模拟 信号 相 比 ， 具 有 传输 质量 高 、 速 度 快 、 带 宽 利 用 率 高 等 优点 ; DDN 的 传 
输 安 全 可 靠 ， 由 于 采用 多 路 由 的 网 状 拓扑 结构 ， 单 个 节点 的 失效 不 会 导致 整个 线路 的 中 断 。 

DDN 网 络 实行 分 级 管理 ， 其 网 络 结构 按 网 络 的 组 建 、 和 运营、 管理、 维护 的 责任 地 理 区 域 可 
以 分 为 一 级 干线 网 、 二 级 干线 网 和 本 地 网 三 级 。 一 级 干线 网 由 设置 在 各 省 、 自 治 区 和 直辖 市 的 
节点 组 成 ， 二 级 干线 网 由 设置 在 省 内 的 节点 组 成 ， 本 地 网 是 指 城市 范围 内 的 网 络 ， 由 这 些 网 络 
提供 全 国 范围 内 的 电路 连接 服务 。 

利用 DDN 网 络 实现 局 域 网 互联 时 ， 必 须 借 助 于 路 由 器 和 DDN 网 络 提供 的 数据 终端 设 
备 DTU。DTU 其 实 是 DDN 专线 的 调制 解 调 器 ， 直 接 和 DDN 网 络 通过 专线 连接 ， 如 图 12-21 
所 示 。 


图 12-21 利用 DDN 实现 局 域 网 互 连 


DDN 网 络 可 以 为 两 个 终端 用 户 网 络 之 间 提 供 带 宽 最 低 为 9.6kbps、 最 高 为 2Mbps 的 数据 业 
务 。 虽 然 面 临 各 种 新 型 传输 技术 的 挑战 ， 但 由 于 DDN 可 以 为 任何 信号 和 传输 协议 提供 透明 传 
递 ， 至 今 为 止 DDN 仍 在 广域网 互 连 技术 应 用 中 占据 一 席 之 地 。 


第 12 章 网 络 规划 和 设计 “ 胃 6s3 医 


2. SDH 


SDH (Synchronous Digital Hierarchy， 同 步 数字 体系 ) 是 一 种 将 复 接 、 线 路 传输 及 交换 功 
E 融 为 一 体 ， 并 由 统一 网 管 系统 操作 的 综合 信息 传送 网 络 ， 前 身 是 美国 贝尔 通信 技术 研究 所 提 
出 来 的 同步 光 网 络 SONET)。SDH 可 实现 网 络 的 有 效 管理 、 实 时 业务 监控 、 动 态 网 络 维护 、 
不 同 厂商 设备 间 的 互通 等 多 项 功能 ， 能 大 大 提高 网 络 的 资源 利用 率 、 降 低 管理 及 维护 费用 ， 实 
现 灵活 可 靠 和 高 效 的 网 络 运行 与 维护 ， 因 此 也 是 当前 最 主要 的 运营 商 基础 设施 网 络 。 

SDH 网 络 是 基于 光纤 的 同步 数字 传输 网 络 ， 采 用 分 组 交换 和 时 分 复 用 (TDM) 技术 ， 主 
要 由 光纤 和 挂 接 在 光纤 上 的 分 插 复 用 器 (ADM)、 数 字 交 叉 连 接 (DXC)、 光 用 户 环 路 载波 系统 
(OLC) 构成 网 络 的 主体 ， 整 个 网 络 中 的 设备 由 高 准确 度 的 主 时 钟 统一 控制 。SDH 网 络 基本 的 
运行 载体 是 双向 运行 的 光纤 环 路 ,可 根据 需要 采用 单 环 、 双 环 或 者 多 环 结构 。SDH 支持 多 种 网 
络 拓扑 结构 ， 组 网 方式 非常 灵活 ， 如 图 12-22 所 示 。 


S 
人 OLC OLC 


图 12-22 SDH 网 结构 
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SDH 采用 的 信息 结构 等 级 称 为 同步 传送 模块 STM-N (Synchronous Transport, N=1, 4，16， 
64)， 最 基本 的 模块 为 STM-1，4 个 STM-1 同步 复 用 构成 STM-4，16 个 STM-1 或 4 个 STM-4 
同步 复 用 构成 STM-16.STM-1 的 传输 速率 为 155.520Mbps, 而 STM-4 的 传输 速率 为 4X 155.520= 
622.080Mbps，STM-16 的 传输 速率 为 16X155.520=2 488.320Mbps， 并 依 此 类 推 。SDH 同时 也 
可 以 提供 El1、E3 等 传统 传输 速率 服务 。 

SDH 是 主要 的 广域网 互联 技术 ， 利 用 运营 商 的 SDH 网 络 实现 互 连 ， 可 以 采用 两 种 方式 ， 
分 别 是 全 OVER SDH 和 PDH 兼容 方式 。 

(1) IPover SDH。 即 以 SDH 网 络 作 为 卫 数据 网 络 的 物理 传输 网 络 ， 并 使 用 链 路 适 配 及 成 
帧 协议 (PPP) 对 下 数据 包 进 行 封装 , 然后 按 字 节 同 步 的 方式 把 封装 后 的 导数 据 包 映 射 到 SDH 
的 同步 净 荷 封装 中 进行 连续 传输 。IP over SDH 为 PP 网 络 设备 提供 的 接口 主要 是 POS (Packet 
Over SONET/SDH) 接口 ， 该 接口 可 以 提供 STM-1 及 其 以 上 的 传输 速率 。 

(2) 准 同步 数字 系列 (Plesiochronous Digital Hierarchy, PDH) 兼容 方式 。 由 于 单纯 的 SDH 
网 络 只 能 提供 STM-1 以 上 的 传输 速率 , 而 大 多 数 用 户 并 不 需要 这 么 高 的 数据 传输 速率 , 因此 SDH 
提供 了 对 传统 PDH 的 兼容 方式 。 这 种 方式 在 SDH 中 的 最 低速 率 同步 传输 模块 STM-1 中 封装 了 
63 个 El 信道 ， 可 以 最 多 同时 向 63 个 用 户 提供 2Mbps 的 接 入 速率 。PDH 兼容 方式 可 以 提供 两 
种 方式 的 接口 : 一 是 传统 El 接口 ， 例 如 路 由 器 上 的 G703 转 V35 接口 ， 另 一 个 是 封装 了 多 个 
El 信道 的 CPOS (Channel POS)， 路 由 器 通过 一 个 CPOS 接口 接 入 SDH 网 络 ， 并 通过 封装 的 

以 上 借助 于 SDH 网 络 实现 局 域 网 络 互联 的 各 种 方式 如 图 12-23 所 示 。 
POS 模块 POS 模块 
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图 12-23 利用 SDH 网 络 实现 局 域 网 互 连 
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无 论 是 人 Pover SDH 方式 还 是 PDH 兼容 方式 ， 运 营 商都 可 以 将 线路 转换 成 以 太 网 络 链 路 ， 
以 便 向 用 户 提供 应 用 更 为 普遍 、 成 本 更 加 低廉 的 以 太 网 络 接口 。 其 中 较为 常见 的 是 将 多 条 El 
信道 转换 成 为 以 太 网 ， 例 如 两 个 局 域 网 络 之 间 通 过 4 条 El 信道 互联 ， 客 户 端的 光端机 或 者 转 
换 设备 将 4 条 El 信道 转换 成 十 兆 的 以 太 网 线路 ， 如 图 12-24 所 示 。 


4 条 El1 信 道 
一 <>— my 

二 二 一 光 喘 机 路 由 器 
SDH 网 络 - 或 转换 设备 


图 12-24 SDH 与 以 太 网 转换 


3. MSTP 


由 于 具有 可 靠 的 业务 保护 能 力 , SDH 技术 已 经 成 为 城 域 传输 网 的 一 种 经 典 选 择 , 但 是 SDH 
也 存在 包括 带宽 瓶颈 、 多 层 网 络 结构 指 配 过 于 复杂 以 及 支持 业务 单一 等 诸多 问题 ， 尤 其 是 对 可 
变速 率 业务 的 支持 方面 。SDH 技术 对 于 固定 速率 的 业务 〈 如 传统 话音 业务 )， 很 容易 将 其 适 配 到 
固定 容量 通道 中 ， 但 对 于 可 变速 率 VBR 业务 和 任意 速率 业务 ，SDH 则 显得 不 够 灵活 ， 特 别 是 
传送 效率 不 高 。 欧 洲 、 东 亚 及 印度 的 一 些 运营 商 已 经 在 新 建 网 络 〈 特 别 是 城 域 网 ) 中 完全 气 弃 
SDH 技术 体系 ， 但 是 目前 国内 的 SDH 网 络 已 经 庞大 得 让 传统 的 电信 运营 商 无 法 从 容 、 坦 然 地 
弃 之 而 去 ， 因 此 被 称 为 下 一 代 SDH 的 MSTP 应 运 而 生 。 

基于 SDH 的 多 业务 传送 平台 (Multi-Service Transport Platform,，MSTP) 是 指 基于 SDH 平 
台 同 时 实现 TDM、AIM、 以 太 网 等 业务 的 接 入 、 处 理 和 传送 ， 提 供 统一 网 管 的 多 业务 节点 。 
基于 SDH 的 多 业务 传送 节点 除 应 具有 标准 SDH 传送 节点 所 具有 的 功能 外 ， 还 具有 以 下 主要 功 
能 特征 。 

(1) 具有 TDM 业务 、ATM 业务 或 以 太 网 业务 的 接 入 功能 。 

(2) 具有 TDM 业务 、ATM 业务 或 以 太 网 业务 的 传送 功能 ， 包 括 点 到 点 的 透明 传送 功能 。 

(3) 具有 ATM 业务 或 以 太 网 业务 的 带宽 统计 复 用 功能 。 

(4) 具有 ATM 业务 或 以 太 网 业务 映射 到 SDH 虚 容 器 的 指 配 功能 。 

MSTP 在 网 络 互 连 领域 主要 用 于 企业 用 户 网 络 建设 和 用 户 接 入 补充 ， 其 中 ， 企 业 用 户 网 络 
建设 直接 体现 了 MSTP 多 种 业务 接 入 、 点 到 多 点 的 透明 传送 功能 。 企 业 客 户 网 络 数量 较 多 ， 地 
点 分 布 零散 ， 业 务 需求 各 不 相同 ， 如 果 把 所 有 企业 专 网 纳入 统一 的 SDH 传输 平台 ， 则 投资 成 本 
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过 高 。 用 户 可 针对 企业 网 络 业务 的 种 类 、 数 量 并 考虑 到 服务 等 级 、 投 资 成 本 等 因素 ， 分 期 、 分 
层 对 企业 网 络 进行 优化 、 改 造 ， 在 部 分 企业 专 网 中 引入 MSTP 设备 ， 采 用 环 型 和 星 型 网 络 拓扑 
结合 的 方式 逐步 实现 对 不 同等 级 客户 的 不 同 服务 质量 保障 ,MSTP 平台 可 以 提供 SDH 网 络 提供 
的 所 有 传输 带宽 ， 并 且 能 够 实现 多 个 网 络 部 分 之 间 共 享 传输 带宽 。 

具体 的 建设 方案 如 下 : 将 企业 网 络 服务 平台 划分 为 核心 层 和 接 入 层 ， 将 业务 发 展 良好 、 业 
务 集中 、 业务 种 类 复杂 的 企业 专 网 和 重点 企业 用 户 纳入 核心 层 。 通 过 对 光缆 线路 资源 进行 优化 ， 
在 核心 层 引 入 MSTP 设备 组 成 环 网 ， 建 立 专 有 的 重要 企业 业务 平台 ， 提 供 丰富 的 业务 种 类 和 可 
定制 服务 (AIM、Ethemet 以 及 2M 专线 等 业务 )， 网 络 的 结构 、 容 量 、 管 理 和 发 展 均 以 满足 重 
点 企业 业务 的 开展 为 基准 。 将 业务 数量 少 、 业 务 种 类 较 单 一 、 节 点 多 且 分 布 零散 的 企业 分 支 机 
构 及 小 型 企业 纳入 接 入 层 。 出 于 成 本 考虑 ， 接 入 层 仍 保持 星 型 组 网 或 光纤 直 连 方式 ， 今 后 可 根 
据 客户 业务 的 发 展 逐 步 进 行 改造 。 

图 12-25 是 利用 MSTP 技术 实现 一 个 企业 不 同 局 域 网 络 之 间 连 接 的 示例 。MSTP 设备 借助 
于 SDH 网 络 提 供 的 链 路 形成 MSTP 业务 环 , 企业 的 不 同 局 域 网 借助 于 路 由 器 之 间接 入 到 MSTP 
设备 的 以 太 网 接口 。 这 些 企业 网 络 所 有 的 局 域 网 之 间 的 连接 并 不 需要 占用 多 个 SDH 信道 ， 而 是 
共享 一 个 传统 SDH 信道 的 带宽 ， 通 过 这 种 方式 ， 可 以 避免 企业 网 络 连接 对 SDH 网 络 资源 的 大 
量 浪费 。 同 时 ， 由 于 各 个 局 域 网 络 之 间 访 问 的 透明 性 、 随 机 性 和 不 确定 性 ， 企 业 用 户 的 网 络 感 
受 和 传统 SDH 互 连 方式 区 别 不 大 。 


以 太 网 
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图 12-25 ”利用 MSTP 平台 实现 局 域 网 互 连 
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4. 传统 VPN 技术 


虚拟 专用 网 是 通过 公共 网 络 实现 远程 用 户 或 远程 局 域 网 之 间 的 互 连 ， 主 要 采用 隧道 技术 ， 
让 报 文通 过 Internet 或 其 他 商用 网 络 等 公共 网 络 进行 传输 。 由 于 隧道 是 专用 的 ， 使 得 通过 公共 网 
络 的 专用 隧道 进行 报 文 传输 的 过 程 和 通过 专用 的 点 对 点 链 路 进行 报 文 传输 的 过 程 非常 相似 ， 由 
于 公共 网 络 可 以 同时 具有 多 条 专用 隧道 ， 因 而 就 可 以 同时 实现 多 组 点 对 点 报 文 传输 。 

传统 的 VPN 技术 主要 是 基于 实现 数据 安全 传输 的 协议 来 完成 ， 主 要 包括 两 个 层次 的 数据 
安全 传输 协议 ， 分 别 为 二 层 协 议和 三 层 协议 。 二 层 协议 主要 是 对 传统 拨号 协议 PPP 的 扩展 ， 通 
过 定义 多 协议 跨越 第 二 层 点 对 点 链接 的 一 个 封装 机 制 来 整合 多 协议 拨号 服务 至 现 有 的 因特网 
服务 供应 商 ， 保 证 分 散 的 远程 客户 端 通过 隧道 方式 经 由 Intemet 等 网 络 访问 企业 内 部 网 络 。 其 
典型 协议 为 L2TP， 主 要 用 于 利用 拨号 系统 实现 远程 用 户 安全 接 入 企业 网 络 。 三 层 协 议 主要 定义 
了 在 一 种 网 络 层 协议 上 封装 另 一 个 协议 的 规范 ， 通 过 对 需要 传递 的 业务 数据 的 网 络 层 分 组 进行 
封装 ， 封 装 后 的 分 组 仍然 是 一 个 网 络 层 分 组 ， 可 以 在 VPN 寄生 的 网 络 上 进行 传递 ， 使 得 各 个 
VPN 部 分 之 间 可 以 借助 于 隧道 进行 通信 。 典 型 的 三 层 协 议 包 括 IPSec 和 GRE， 其 中 ，IPSec 主 
要 是 在 也 协议 上 实现 封装 ，GRE 是 一 种 规范 ， 可 以 适用 于 多 种 协议 的 封装 。 

基于 三 层 协议 的 VPN 技术 主要 用 于 企业 各 局 域 网 络 之 间 的 连接 ， 分 为 点 对 点 方式 和 中 心 
辐射 状 方式 ， 如 图 12-26 所 示 。 在 点 对 点 方式 Point-to-Point) 下 ， 两 个 分 支局 域 网 络 边界 上 


VPN 网 关 或 带 有 VPN 功 
能 的 防火 墙 、 路 由 器 


点 对 点 方式 中 心 辐 射 状 方式 
图 12-26 利用 三 层 VPN 技术 实现 局 域 网 络 互 连 
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部 署 VPN 网 关 或 者 是 带 有 VPN 功能 的 防火 墙 、 路 由 器 ， 这 些 VPN 网 关 通 过 物理 链 路 接 入 因 
特 网 ， 并 由 IPSec 协议 或 GRE 协议 形成 两 个 路 由 器 之 间 的 逻辑 隧道 , 实现 局 域 网 络 之 间 的 数据 
传递 ， 在 中 心 辐射 状 方式 〈Hub-and-Spoke) 下 ， 核 心 局 域 网 和 各 分 支局 域 网 的 边界 上 都 部 署 
VPN 网 关 ， 核心 局 域 网 路 由 器 和 每 个 分 支局 域 网 路 由 器 之 间 建 立 逻 辑 隧道 , 完成 多 个 局 域 网 分 
支 的 互 连 ， 分 支局 域 网 之 间 的 访问 需要 经 过 中 心 局 域 网 的 转发 。 


S， MPLS VPN 技术 


MPLS 用 定 长 的 标签 来 封装 分 组 ， 在 各 种 链 路 层 ( 如 PPP、AIM、 帧 中 继 和 以 太 网 等 ) 服 
务 的 基础 上 在 网 络 层 提供 面向 连接 的 服务 。MPLS 支持 各 种 路 由 协议 和 控制 协议 ， 也 支持 基于 
策略 的 约束 路 由 ， 路 由 功能 强大 、 灵 活 ， 可 以 满足 各 种 新 应 用 对 网 络 的 要 求 。 

MPLS 技术 主要 是 为 了 提高 路 由 器 转发 速度 而 提出 的 ， 其 核心 思想 是 利用 标签 交换 取代 复 
杂 的 路 由 运算 和 路 由 交换 。 该 技术 实现 的 核心 就 是 在 卫 数据 包 之 外 封装 一 个 32 位 的 MPLS 包 
头 。MPLS 体系 中 的 各 个 路 由 设备 将 根据 MPLS 包头 中 的 标签 进行 转发 ， 而 不 是 传统 方式 下 根 
据 卫 包头 中 的 目标 地 址 来 转发 。MPLS 标签 栈 可 以 无 限 嵌 套 ， 从 而 提供 无 限 的 业务 支持 能 力 ， 
而 MPLS VPN 就 是 一 个 典型 的 标签 岩 套 应 用 。 

MPLS VPN 是 在 网 络 路 由 和 交换 设备 上 应 用 MPLS 技术 ， 简 化 核心 路 由 器 的 路 由 选择 方 
式 ， 结 合 传统 路 由 技术 的 标记 交换 实现 的 中 虚拟 专用 网 络 ， 可 用 来 构造 合适 带宽 的 企业 网 络 、 
专用 网 络 ， 满 足 多 种 灵活 的 业务 需求 。 采 用 MPLS VPN 技术 可 以 把 现 有 的 卫 网 络 分 解 成 迪 辑 
上 隔离 的 网 络 ， 用 于 解决 企业 网 互 连 和 政府 部 门 网 络 间 的 互 连 ， 也 可 以 用 来 提供 新 的 业务 ， 为 
解决 下 网 络 地 址 不 足 、QoS 需求 和 专用 网 络 需求 提供 较 好 的 解决 方案 , 因此 也 成 为 新 型 电信 运 
营 商 提供 局 域 网 络 互 连 服务 的 主要 手段 。 

一 个 典型 的 MPLS VPN 承载 平台 如 图 12-27 所 示 。 承载 平台 上 的 设备 主要 由 各 类 路 由 器 组 
成 , 这 些 路 由 器 在 MPLS VPN 平台 中 的 角色 各 不 相同 , 分 别 被 称 为 P 设备 、 PE 设备 、CE 设备 。 
P (Provider Router) 路 由 器 是 MPLS 核心 网 中 的 路 由 器 ， 这 些 路 由 器 只 负责 依据 MPLS 标签 完 
成 数据 包 的 高 速 转发 ， PE (Provider Edge Router) 路 由 器 是 MPLS 核心 网 上 的 边缘 路 由 器 ， 与 
用 户 的 CE 路 由 器 互 连 , PE 设备 负责 待 传送 数据 包 的 MPLS 标签 的 生成 和 弹出 ， 负 责 将 数据 包 
按 标签 发 送 给 P 路 由 器 或 接收 来 自 P 路 由 器 的 包含 标签 的 数据 包 ，PE 路 由 器 还 将 发 起 根据 路 
由 建立 交换 标签 的 动作 ; CE (Custom Edge) 路 由 器 是 直接 与 电信 运营 商 相连 的 用 户 端 路 由 器 ， 
该 设备 上 不 存在 任何 带 有 标签 的 数据 包 ，CE 路 由 器 将 用 户 网 络 的 信息 发 送 给 PE 路 由 器 ， 以 便 
于 在 MPLS 平台 上 进行 路 由 信息 的 处 理 。 

如 图 12-27 所 示 ， 一 个 企业 可 以 借助 于 MPLS VPN 承载 平台 将 由 不 同 CE 路 由 器 连接 的 局 
域 网 络 互 连 起 来 形成 一 个 完整 的 企业 网 络 。 在 这 个 MPLS VPN 平台 上 , 可 以 存在 多 个 企业 网 络 ， 
这 些 网 络 之 间 除 非特 殊 设置 ， 否 则 相互 之 间 是 逻辑 隔离 的 ， 不 同 企业 网 络 之 间 不 能 直接 互 访 。 
用 户 网 络 只 需要 提供 CE 路 由 器 ， 并 连接 到 PE 路 由 器 ， 由 平台 管理 员 完 成 VPN 的 互 连 工作 。 
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PE 路 由 器 可 以 同时 和 多 个 CE 路 由 器 建立 物理 连接 , 也 可 以 借助 于 支持 MPLS 协议 的 交换 机 通 
过 VLAN 技术 实现 和 多 个 CE 路 由 器 的 互 连 ， 从 而 保证 多 个 用 户 网 络 的 接 入 。 


图 12-27 MPLS VPN 承载 平台 


12.6.6 ”安全 运行 与 维护 


1. 信息 安全 风险 评估 工作 


1) 风险 评估 的 对 象 

安全 风险 评估 的 对 象 如 下 。 
。 ”网络 结 构 。 

。 ”网络 系统 及 设备 。 

。 ”应 用 系统 。 

。 管理 制度 。 


。 员 意 识 与 技能 。 
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。 ”安全 产品 和 技术 应 用 状况 。 

。 ”安全 事件 处 理 能 力 。 

2) 评估 方法 

评估 方法 如 下 。 

。 ”安全 管理 审计 。 

。 工具 扫描 。 

。 网络 架 构 评估 。 

。 应 用 系统 评估 。 

。 主机 设备 和 平台 安全 配置 检查 。 
。 ”渗透 测试 和 分 析 。 

3) 评估 要 求 

安全 风险 评估 服务 是 网 络 安 全 服务 的 一 个 重要 环节 ， 每 年 应 进行 一 次 信息 安全 风险 评估 。 


为 避免 出 现 重大 的 安全 漏洞 和 隐患 ， 可 以 在 自行 评估 的 基础 上 定期 或 不 定期 地 委托 具备 资格 的 
信息 安全 风险 评测 机 构 进行 评估 。 


案 。 


2 应急 服务 


1) 应 急 响 应 

应 急 响 应 应 达到 以 下 要 求 。 

e ”设立 应 急 响应 中 心 ， 合 理 安排 应 急 响 应 人 员 ; 

。 ”应 针对 各 种 可 能 情况 制定 合理 的 应 急 响 应 预案 ; 

。 ”应 制定 详细 合理 的 应 急 响 应 计划 。 

应 急 预 案 的 执行 单位 可 由 网 络 管理 中 心 相关 部 门 执行 ， 也 可 委托 公司 、 大 学 或 研究 机 构 完 


。 受 委托 单位 应 是 具有 相关 安全 资质 的 中 资 机 构 。 


2) 应 急 预 案 的 制定 
为 保证 在 发 生 各 种 信息 安全 事件 情况 下 能 够 从 容 处 理 并 解决 安全 事件 ， 要 求 制定 应 急 预 
制定 应 急 响应 预案 首先 应 建立 应 急 处 理工 作 小 组 ， 负 责 预 案 的 落实 ， 并 且 保 证 预案 的 传达 


与 实施 ， 应 急 预 案 要 在 相关 部 门 或 上 级 部 门 进行 备案 。 预 案 的 制定 应 符合 以 下 要 求 。 


。 ”应急 预案 应 根据 电子 政务 网 实际 情况 制定 ， 必 须 切实 有 效 ， 可 操作 性 强 ; 

。 应 急 预 案 的 制定 和 实施 中 明确 各 个 部 门 的 职责 ， 责 任 落实 到 岗 、 到 人 ; 

。 确定 应 急事 件 的 风险 优先 次 序 ， 对 于 高 风险 的 应 急事 件 ， 优 先 制定 应 急 预 案 ; 
。 全 面 分 析 系 统 运行 、 信 息 内 容 和 网 络 的 管理 与 控制 等 方面 的 安全 威胁 ; 

。 ”完善 应 急 预 案 所 需 的 备用 资源 ， 包 括 备用 的 软件 、 设 备 以 及 人 员 ; 

。 ”对 每 种 应 急事 件 建立 应 急 响 应 流程 ; 
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。 不 能 判断 事件 发 生 原因 时 ， 一 定 要 保留 现场 ， 保 留 痕迹 ， 以 便 追 查 原因 ; 

。 重大 事件 要 上 报 有 关 部 门 ， 直 至 追究 行政 或 刑事 责任 ; 

。 ”对 预想 到 的 事件 要 事先 积极 采取 管理 和 技术 措施 尽早 解决 ; 

。 ”应 急 预 案 应 经 常 进行 培训 和 演练 。 

3) 应 急 预 案 的 内 容 

应 急 预 案 应 包括 以 下 内 容 。 

。 标题 。 包 括 应 急事 件 的 名 称 、 事 件 编号 以 及 事件 处 理 的 优先 等 级 。 

。 事件 描述 。 包 括 应 急事 件 发 生 的 背景 、 现 象 、 可 能 的 影响 以 及 影响 范围 。 

。 涉及 范围 。 包 括 应 急 处 理工 作 组 人 员 与 部 门 职责 。 

。 ”处 理 概述 。 包 括 描述 事件 处 理 的 主要 环节 和 要 点 。 

。 ”处 理 流程 。 包 括 用 流程 图 简 述 处 理 过程 。 

。 流程 说 明 。 包 括 针 对 流程 图 的 每 个 步骤 ， 详 细 描 述 涉及 的 具体 人 员 、 操 作对 象 〈 如 设 
备 端口 号 、IP 地 址 、 主 机 名 、 文 件 名 、 备 份 介质 编号 与 存放 地 点 等 )、 操 作 命令 和 使 
用 的 工具 等 。 

。 演练 计划 。 包 括 预演 环境 的 建立 、 参 与 人 员 、 时 间 与 地 点 ， 对 上 述 处 理 流程 实际 操作 ， 
验证 预案 的 合理 性 ， 增 强 时 间 处 理 的 熟练 与 可 靠 性 。 

。 参与 人 员 。 包 括 编制 人 、 预 案 人 与 审批 人 ， 以 及 需要 抄 送 的 部 门 。 

4) 应 急 预 案 的 流程 

安全 事件 应 急 处 理 的 标准 流程 如 图 12-28 所 示 。 

5) 应 急 响 应 步骤 

安全 事件 或 事故 发 生 后， 应 急 中 心 根据 应 急 预 案 进行 更 具体 的 应 急 响应 步骤 。 当 入 侵 或 破 

坏 发 生 时 ， 对 应 的 处 理 步 骤 如 下 。 

(1) 保护 或 恢复 计算 机 、 网 络 服务 的 正常 工作 ， 进 行 应 急 准 备 。 

。 ”为 一 个 突 发 事件 的 处 理 取得 管理 方面 支持 ; 

。 组 建 事件 处 理 队伍 〈1 一 10 人 ); 

。 ”提供 易 实现 的 初步 报告 。 

(2) 追查 入 侵 者 ， 识 别 事件 (判定 安全 事件 类 型 )。 

。 初步 评估 ， 确 定 事 件 来 源 ; 

。 保护 可 追查 的 线索 ， 立 即 在 磁带 上 或 其 他 不 联机 存储 设备 上 备份 日 志 数 据 。 

(3) 抑制 缩小 事件 的 影响 范围 。 

。 确定 系统 继续 运行 的 风险 如 何 ， 决 定 是 否 关 闭 系 统 及 其 他 措施 ; 

。 根据 需求 制定 相应 的 应 急 措施 。 
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紧急 响应 申请 


通报 各 单位 


(4) 解决 、 恢 复 以 及 跟踪 问题 。 

。 事件 的 起 因 分 析 、 取 证 追查 

。 ”漏洞 分 析 、 后 门 检查 

。 ”提供 解决 方案 ， 将 结果 提交 专家 小 组 或 上 级 领导 审核 。 
(5) 后 续 工作 。 

检查 是 不 是 所 有 的 服务 都 已 经 恢复 ; 

攻击 者 所 利用 的 漏洞 是 否 已 经 解决 ; 

其 发 生 的 原因 是 否 已 经 处 理 ; 

保险 措施 、 法 律 声 明 等 手续 是 否 已 经 归档 ; 
应 急 响 应 步 又 是 否 需 要 修改 ; 
生成 紧急 响应 报告 ; 

拟定 一 份 事 件 记录 和 跟踪 报告 ; 

输入 专家 信息 知识 库 。 


3. 安全 监控 与 管理 服务 
(1) 部 署 要 求 。 安 全 监控 与 管理 是 通过 统一 集中 的 安全 管理 机 制 来 总 体 配置 、 调 控 整 


图 12-28 应急 预案 的 标准 流程 
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个 网 络 多 层面 、 分 布 式 的 安全 系统 ， 提 高 安全 预警 能 力 ， 加 强 安全 应 急事 件 的 处 理 能 
应 符合 以 下 要 求 。 
。 以 分 布 式 的 体系 架构 来 实现 监测 和 管理 功能 ， 在 省 电子 政务 网 核心 局 域 网 以 及 市 、 州 
政务 网 络 中 心 分 别 部 署 两 级 监控 管理 中 心 。 
。 每 一 级 设置 独立 的 数据 库 ， 下 级 网 管 能 够 主动 或 被 动 地 将 部 分 或 全 部 数据 上 传 到 上 级 


系统 。 
。 上 级 管理 节点 能 对 下 级 管理 节点 进行 配置 和 监测 数据 同步 ， 支 持 上 级 管理 节点 对 下 级 
管理 节点 的 远程 管理 。 


。 管理 功能 集成 于 一 个 管理 平台 ， 统 一 于 一 个 管理 图 形 界面 。 

。 可 监测 和 管理 网 络 、 应 用 系统 和 运行 环境 ， 形 成 一 套 统 一 的 网 络 与 应 用 系统 状态 管理 
体系 。 

(2) 监控 功能 要 求 。 监 控 功 能 应 符合 以 下 要 求 。 

。 ”应 能 够 采集 网 络 设备 、 安 全 设备 、 服 务 器 和 应 用 系统 等 的 运行 状态 、 性 能 、 故 障 和 事 
件 信息 。 

。 ”应 能 对 安全 事件 进行 过 滤 、 关 联 分 析 和 告警 。 

。 应 能 对 网 络 、 主 机 、 数 据 库 、 中 间 件 、 安 全 设备 和 应 用 系统 等 IT 资产 进行 集中 、 统 一 
管理 。 

。 ”安全 事件 处 理 和 风险 分 析 功 能 。 

。 ”可 以 统计 分 析 所 有 事件 、 风 险 、 通 知 、 资 产 和 其 他 资源 ， 能 够 创建 报表 。 

(3) 管理 功能 应 符合 以 下 要 求 。 

。 ”运行 值班 管理 。 

。 事件 告警 处 理 。 

。 ”运行 维护 管理 。 


设备 辅助 信息 管理 。 
事件 统计 与 运行 考核 管理 。 
。 告警 事件 处 理 知识 管理 。 
(4) 规模 要 求 。 大 型 网 络 需要 部 署 安全 监控 与 管理 平台 ， 中 型 网 络 的 核心 网 络 需要 部 署 安 
全 监控 与 管理 平台 。 


4. 其 他 安全 服务 


(1) 定期 安全 巡 检 。 大 中 型 网 络 应 每 月 进行 一 次 巡 检 ， 虽 在 发 现 系统 运行 过 程 中 是 否 有 新 
的 风险 出 现 ， 确 定 如 何 修补 的 方案 ， 并 对 系统 进行 加 固 。 

(2) 安全 加 固 服务 。 应 当 对 网 络 平台 中 的 重要 应 用 服务 器 定期 进行 安全 加 固 服务 。 在 加 固 
之 前 需要 进行 安全 评估 ， 并 针对 安全 评估 后 的 结果 修补 系统 的 漏洞 ， 加 强 系统 的 安全 配置 ， 进 
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行 全 面 系 统 的 加 固 工作 。 大 中 型 网 络 宜 每 季度 进行 一 次 ， 小 型 网 络 应 每 半年 进行 一 次 。 

(3) 安全 信息 通告 服务 。 网 络 平台 ， 尤 其 是 大 型 网 络 平台 ， 应 进行 定期 的 安全 信息 通告 服 
务 。 安 全 信息 中 应 包括 最 新 的 安全 公告 、 病 毒 信息 和 漏洞 信息 等 内 容 。 安 全 通告 服务 以 邮件 、 
电话 和 走访 等 方式 将 安全 技术 和 安全 信息 及 时 传递 给 客户 。 

(4) 安全 培训 。 建 立信 息 安全 保障 体系 还 要 注重 信息 安全 人 才 的 教育 与 培养 。 信 息 安全 的 
保障 是 靠 人 、 技 术 和 管理 共同 来 实现 的 ， 人 员 的 安全 意识 和 安全 技术 水 平 将 直接 影响 到 整个 信 
息 安 全 系统 的 有 效 利用 。 


12.7 ”网 络 故障 诊断 与 故障 排除 工具 


网 络 环境 越 复杂 ， 发 生 故 障 的 可 能 性 就 越 大 ， 引 发 故障 的 原因 也 就 越 难 确定 。 网 络 故障 往 
往 具有 特定 的 故障 现象 ， 这 些 现 象 可 能 比较 笼统 ， 也 可 能 比较 特殊 。 利 用 特定 的 故障 排除 工具 
及 技巧 在 具体 的 网 络 环境 下 观察 故障 现象 ， 细 致 分 析 ， 最 终 必然 可 以 查找 出 一 个 或 多 个 引发 故 
障 的 原因 。 一 旦 能 够 确定 引发 故障 的 根源 , 那么 故障 都 可 以 通过 一 系列 的 步骤 得 到 有 效 的 处 理 。 


12.7.1 网 络 故障 诊断 


在 排除 网 络 中 出 现 的 故障 时 ， 使 用 非 系统 化 的 方法 可 能 会 浪费 大 量 宝贵 的 时 间 及 资源 ， 事 
倍 功 半 ， 使 用 系统 化 的 方法 往往 更 为 有 效 。 系 统 化 的 方法 流程 如 下 : 定义 特定 的 故障 现象 ， 根 
据 特 定 现象 推断 出 可 能 发 生 故障 的 所 有 潜在 问题 ， 直 到 故障 现象 不 再 出 现 为 止 。 

图 12-29 给 出 了 一 般 故障 排除 模型 的 处 理 流程 。 这 一 流程 并 不 是 解决 网 络 故 障 时 必须 严格 
遵守 的 步 又， 只 是 为 建立 特定 网 络 环境 中 故障 排除 的 流程 提供 了 基础 。 

(1) 在 分 析 网 络 故障 时 ， 要 对 网 络 故 障 有 个 清晰 的 描述 ， 并 根据 故障 的 一 系列 现象 以 及 潜 
在 的 症结 来 对 其 进行 准确 的 定义 。 

如 果 要 对 网 络 故障 做 出 准确 的 分 析 ， 首 先 应 该 了 解 故障 表现 出 来 的 各 种 现象 ， 然 后 确定 可 
能 会 产生 这 些 现象 的 故障 根源 或 现象 。 例 如 ， 主 机 没有 对 客户 端的 服务 请 求 做 出 响应 (一 种 故 
障 现象 )， 可 能 产生 这 一 现象 的 原因 主要 包括 主机 配置 错误 、 网 络 接口 卡 损坏 或 路 由 器 配置 不 
正确 等 。 

(2) 收集 有 助 于 确定 故障 症结 的 各 种 信息 。 向 受 故 障 影响 的 用 户 、 网 络 管理 员 、 经 理 及 其 
他 关键 人 员 询问 详细 的 情况 ， 从 网 络 管理 系统 、 协 议 分 析 仪 的 跟踪 记录 、 路 由 器 诊断 命令 的 输 
出 信息 以 及 软件 发 行 注 释 信 息 等 信息 源 中 收集 有 用 的 信息 。 

(3) 依据 所 收集 到 的 各 种 信息 考虑 可 能 引发 故障 的 症结 。 利 用 所 收集 到 的 这 些 信息 可 以 排 
除 一 些 可 能 引发 故障 的 原因 。 例 如 ， 根 据 收集 到 的 信息 也 许可 以 排除 硬件 出 现 问题 的 可 能 性 ， 
于 是 就 可 以 把 关注 的 焦点 放 在 软件 问题 上 。 并 且 ， 应 该 充分 地 利用 每 一 条 有 用 的 信息 ， 尽 可 能 
地 缩小 目标 范围 ， 从 而 制定 出 高 效 的 故障 排除 方法 。 
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故障 定义 


一 -| 收集 信息 ] 
1 
根据 情况 ， 分 析 原因 | 


建立 行动 计划 | 


1 
实施 行动 计划 


观察 结果 


现象 消失 


问题 被 解决 ， 终 止 进程 


图 12-29 一 般 性 故障 问题 的 解决 模型 


(4) 根据 剩余 的 潜在 症结 制定 故障 的 排查 计划 。 从 最 有 可 能 的 症结 入 手 ， 每 次 只 做 一 处 
改动 。 

之 所 以 每 次 只 做 一 处 改动 ， 是 因为 这 样 有 助 于 确定 针对 固定 故障 的 排除 方法 。 如 果 同 时 做 
了 两 处 或 多 处 改动 ， 也 许 能 排除 故障 ， 但 是 难以 确定 到 底 是 哪些 改动 消除 了 故障 现象 ， 而 且 对 
日 后 解决 同样 的 故障 也 没有 太 大 的 帮助 。 

(5) 实施 制定 好 的 故障 排除 计划 ， 认 真 执行 每 一 步骤 ， 同 时 进行 测试 ， 查 看 相应 的 现象 是 
否 消失 。 

(6) 当做 出 一 处 改动 时 ， 要 注意 收集 相应 操作 的 反馈 信息 。 通 常 应 该 采用 在 步骤 〈2) 中 
使 用 的 方法 〈 利 用 诊断 工具 并 与 相关 人 员 密 切 配 合 ) 进行 信息 的 收集 工作 。 

(7) 分 析 相 应 操作 的 结果 ， 并 确定 故障 是 否 已 被 排除 。 如 果 故 障 已 被 排除 ， 那 么 整个 流程 
到 此 结束 。 

(8) 如 果 故 障 依然 在 在， 就 得 针对 剩余 的 潜在 症结 中 最 可 能 的 一 个 制定 相应 的 故障 排除 计 
划 。 回 到 步骤 (4)， 依 旧 每 次 只 做 一 处 改动 ， 重 复 此 过 程 ， 直 到 故障 被 排除 为 止 。 

如 果 能 提前 为 网 络 故障 做 好 准备 工作 ， 那 么 网 络 故障 的 排除 也 就 变 得 比较 容易 了 。 对 于 各 
种 网 络 环境 来 说 ， 最 为 重要 的 是 保证 网 络 维护 人 员 总 能 够 获得 有 关 网 络 当前 情况 的 准确 信息 。 
只 有 利用 完整 、 准 确 的 信息 才能 够 对 网 络 的 变动 做 出 明智 的 决策 ， 才 能 够 尽快 、 尽 可 能 简单 地 
排除 故障 。 因 此 ， 在 网 络 故 障 的 排除 过 程 中 ， 最 为 关键 的 是 确保 当前 掌握 的 信息 及 资料 是 最 
新 的 。 

对 于 每 个 已 经 解决 的 问题 ， 一 定 要 记录 其 故障 现象 以 及 相应 的 解决 方案 。 这样， 就 可 以 建 
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立 一 个 问题 /回答 数据 库 , 今后 发 生 类 似 的 情况 时 ， 公 司 里 的 其 他 人 员 也 能 参考 这 些 案例 ， 从 而 
极 大 地 降低 对 网 络 进行 故障 排除 的 时 间 ， 最 小 化 对 业务 的 负面 影响 。 


12.7.2 “网络 故障 排除 工具 


排除 网 络 故障 的 常用 工具 有 多 种 ， 总 的 来 说 可 以 分 为 三 类 : 设备 或 系统 诊断 命令 、 网 络 管 
理工 具 以 及 专用 故障 排除 工具 。 


1. 设备 或 系统 诊断 命令 


许多 网 络 设备 及 系统 本 身 提供 了 大 量 的 集成 命令 来 帮助 监视 并 对 网 络 进行 故障 排除 。 一 些 
常用 的 诊断 命令 如 下 。 
。 ”show: 可 以 用 于 监测 系统 的 安装 情况 与 网 络 的 正常 运行 状况 ， 也 可 以 用 于 对 故障 
的 定位 。 
。 debug: 帮助 分 离 协议 和 配置 问题 。 
。 ping: 用 于 检测 网 络 上 不 同 设备 之 间 的 连通 性 。 
。 trace: 可 以 用 于 确定 数据 包 在 从 一 个 设备 到 另 一 个 设备 直至 目的 地 的 过 程 中 所 经 过 的 


2. 网 络 管理 工具 


一 些 厂商 推出 的 网 络 管理 工具 (如 Cisco Works、HP OpenView 等 ) 都 含有 监测 以 及 故障 排 
除 功 能 ， 这 有 助 于 对 网 络 互联 环境 的 管理 和 故障 的 及 时 排除 。 


3. 专用 故障 排除 工具 


在 许多 情况 下 ， 专 用 故障 排除 工具 可 能 比 设备 或 系统 中 集成 的 命令 更 有 效 。 例 如 ， 在 网 络 
通信 和 负载 繁重 的 环境 中 ， 运 行 需要 占用 大 量 处 理 器 时 间 的 debug 命令 将 会 对 整个 网 络 造成 巨大 
的 影响 。 然 而 ， 如 果 在 “可 疑 ”的 网 络 上 接 入 一 台 网 络 分 析 仪 ， 就 可 以 尽 可 能 少 地 干扰 网 络 的 
正常 工作 ， 并 且 很 有 可 能 在 不 打 断 网 络 正常 工作 的 情况 下 获取 到 有 用 的 信息 。 下 面 为 一 些 典 型 
的 用 于 排除 网 络 故 障 的 专用 工具 。 

1) 欧姆 表 、 数 字 万 用 表 及 电缆 测试 器 

欧姆 表 、 数 字 万 用 表 属 于 电缆 检测 工具 中 比较 低档 的 一 类 。 这 类 设备 能 够 测量 诸如 交 直 流 
电压 、 电 流 、 电 阻 、 电 容 以 及 电缆 连续 性 之 类 的 参数 。 利 用 这 些 参数 可 以 检测 电费 的 物理 连 
通 性 。 

电线 测试 器 (扫描 器 》 也 可 以 用 于 检测 电缆 的 物理 连通 性 。 电 缆 测试 器 适用 于 屏蔽 双 绞 线 
(STP)、 非 屏蔽 双 绞 线 (UTP)、10BaseT、 同 轴 电 缆 及 双 芯 同 轴 电 缆 等 。 通 常 ， 电 缆 测试 器 能 
够 提供 下 述 的 任 一 功能 。 


Xl 


域 
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。 测试 并 报告 电缆 状况 ， 其 中 包括 近 端 串 音 (near end crosstalk，NEXT)、 信 号 衰减 及 

噪音 。 

。 实现 TDR、 通 信 检 测 及 布线 图 功能 。 

。 ”显示 局 域 网 通信 中 媒体 访问 控制 层 的 信息 ， 提 供 诸如 网 络 利 用 率 、 数 据 包 出 错 率 之 类 

的 统计 信息 ， 完 成 有 限 的 协议 测试 功能 (例如 ，TCP/IP 网 络 中 的 ping 测试 )。 

对 于 光缆 而 言 ， 也 有 类 似 的 测试 设备 。 由 于 光缆 的 造价 及 其 安装 的 成 本 相对 较 高 ， 因 此 在 
光缆 的 安装 前 后 都 应 该 对 其 进行 检测 。 对 光纤 连续 性 的 测试 需要 使 用 可 见 光 源 或 反射 计 。 光 源 
应 该 能 够 提供 3 种 主要 波长 〈 即 850nm、1300nm 和 1550nm) 的 光线 ， 配 合 能 够 测量 同样 波长 
的 功率 计 一 起 使 用 ， 便 可 以 测 出 光纤 传输 中 的 信号 衰减 与 回程 损耗 。 

2) 时 域 反射 计 与 光 时 域 反射 计 

电缆 检测 工具 中 比较 高 档 的 是 时 域 反 射 计 (Time Domain Reflectors，TDR)， 这 种 设备 能 够 
快速 地 定位 金属 电缆 中 的 断路 、 短 路 、 压 接 、 扭 结 、 阻 抗 不 匹配 及 其 他 问题 。 

TDR 的 工作 原理 基于 信号 在 电缆 末端 的 振动 。 电 线 的 断路 、 短 路 及 其 他 问题 会 导致 信号 以 
不 同 的 幅度 反射 回来 , TDR 通过 测试 信号 反射 回来 所 需要 的 时 间 就 可 以 计算 出 电缆 中 出 现 故 障 
的 位 置 。TDR 还 可 以 用 于 测量 电缆 的 长 度 。 有 些 TDR 还 可 以 基于 给 定 的 电缆 长 度 计算 出 信号 
的 传播 速度 。 

对 于 光纤 的 测试 ， 则 需要 使 用 光 时 域 反 射 计 (Optical Time Domain Reflectors,，OTDR)。 
OTDR 可 以 精确 地 测量 光纤 的 长 度 、 定 位 光纤 的 断裂 处 、 测 量 光 纤 的 信号 衰减 、 测 量 接头 或 连 
接 器 造成 的 损耗 。OTDR 还 可 以 用 于 记录 特定 安装 方式 的 参数 信息 (例如 信号 的 衰减 以 及 接头 
造成 的 损耗 等 )。 以 后 当 怀疑 网 络 出 现 故 障 时 ， 可 以 利用 OTDR 测量 这 些 参 数 并 与 原先 记录 的 
信息 进行 比较 。 

3) 断 接 盒 、 智 能 测试 盘 和 位 /数据 块 错误 测试 器 

断 接 盒 breakout boxes)、 智 能 测试 盘 和 位 /数据 块 错误 测试 器 (BERT/BLERT) 是 用 于 测 
量 PC、 打 印 机 、 调 制 解 调 器 、 信 道 服务 设备 /数字 服务 设备 〈《CSU/DSU) 以 及 其 他 外 围 接 口 数 
字 信号 的 数字 接口 测试 工具 。 这 类 设备 可 以 监测 数据 线路 的 状态 ， 捕 获 并 分 析 数 据 ， 诊 断 数 据 
通信 系统 中 常见 的 故障 。 通 过 监测 从 数据 终端 设备 到 数据 通信 设备 的 数据 通信 ， 可 以 发 现 潜在 
的 问题 、 确 定位 组 合 模式 、 确 保 电缆 铺设 结构 的 正确 。 这 类 设备 无 法 测试 诸如 以 太 网 、 令 牌 环 
网 及 FDDI 之 类 的 媒体 信号 。 

4) 网 络 监测 器 

网 络 监 测 器 能 够 持续 不 断 地 跟踪 数据 包 在 网 络 上 的 传输 ， 能 够 提供 任何 时 刻 网 络 活动 的 精 
确 描述 或 者 一 段 时 间 内 网 络 活动 的 历史 记录 。 网 络 监测 器 不 会 对 数据 帧 中 的 内 容 进 行 解码 。 网 
络 监测 器 可 以 对 正常 运作 下 的 网 络 活动 进行 定期 采样 ， 以 此 作为 网 络 性 能 的 基准 。 

网 络 监测 器 可 以 收集 诸如 数据 包 长 度 、 数 据 包 数 量 、 错 误 数 据 包 的 数量 、 连 接 的 总 体 利用 
率 、 主 机 与 MAC 地 址 的 数量 、 主 机 与 其 他 设备 之 间 的 通信 细节 之 类 的 信息 。 这 些 信息 可 以 用 
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于 概括 局 域 网 的 通信 状况 ， 帮 助 用 户 确定 网 络 通 信 超 载 的 具体 位 置 、 规 划 网 络 的 扩展 形式 、 及 
时 地 发 现 入 侵 者 、 建 立 网 络 性 能 基准 、 更 加 有 效 地 分 散 通信 量 。 

5) 网 络 分 析 仪 

网 络 分 析 仪 Cnetwork analyzer) 有 时 也 称 为 协议 分 析 仪 (protocol analyzer)， 它 能 够 对 不 同 
协议 层 的 通信 数据 进行 解码 ， 以 便于 阅读 的 缩 略语 或 概述 形式 表示 出 来 ， 详 细 表示 哪个 层 被 调 
用 《物理 层 、 数 据 链 路 层 等 )， 以 及 每 个 字 节 或 者 字 节 内 容 起 什么 作用 。 

大 多 数 的 网 络 分 析 仪 能 够 实现 以 下 功能 。 

。 按照 特定 的 标准 对 通信 数据 进行 过 滤 ， 例 如 ， 可 以 截获 发 送 给 特定 设备 及 特定 设备 发 
出 的 所 有 信息 。 
为 截获 的 数据 加 上 时 间 标 签 。 
以 便于 阅读 的 方式 展示 协议 层 数据 信息 。 
生成 数据 帧 ， 并 将 其 发 送 到 网 络 中 。 
与 某 些 系统 配合 使 用 ， 系 统 为 网 络 分 析 仪 提供 一 套 规 则 ， 并 结合 网 络 的 配置 信息 及 具 
体操 作 ， 实 现 对 网 络 故 障 的 诊断 与 排除 ， 或 者 为 网 络 故障 提供 潜在 的 排除 方案 。 


12.7.3 网络 故障 分 层 诊断 
1. 物理 层 及 其 诊断 


物理 层 是 OSI 分 层 结构 体系 中 最 基础 的 一 层 ， 它 建立 在 通信 媒体 的 基础 上 ， 实 现 系统 和 通 
信和 媒体 的 物理 接口 ， 为 数据 链 路 实体 之 间 进 行 透 明 传输 ， 为 建立 、 保 持 和 拆除 计算 机 和 网 络 之 
间 的 物理 连接 提供 服务 。 

物理 层 的 故障 主要 表现 在 设备 的 物理 连接 方式 是 否 恰当 ， 连 接 电缆 是 否 正 确 。 确 定 路 由 器 
端口 物理 连接 是 否 完好 的 最 佳 方法 是 使 用 show interface 命令 , 检查 每 个 端口 的 状态 , 解释 屏幕 
输出 信息 ， 查 看 端口 状态 、 协 议 建 立 状态 和 EIA 状态 。 

2. 数据 链 路 层 及 其 诊断 

数据 链 路 层 的 主要 任务 是 使 网 络 层 无 须 了 解 物理 层 的 特征 而 获得 可 靠 的 传输 。 数据 链 路 层 
为 通过 链 路 层 的 数据 进行 打包 和 解 包 、 差 错 检测 和 一 定 的 校正 能 力 ， 并 协调 共享 介质 。 在 数据 
链 路 层 交 换 数 据 之 前 ， 协 议 关 注 的 是 形成 帧 和 同步 设备 。 查 找 和 排除 数据 链 路 层 的 故障 ， 需 要 
查看 路 由 器 的 配置 ， 检 查 连接 端口 的 共享 同一 数据 链 路 层 的 封装 情况 。 每 对 接口 要 和 与 其 通信 
的 其 他 设备 有 相同 的 封装 。 通 过 查看 路 由 器 的 配置 检查 其 封装 ， 或 者 使 用 show 命令 查看 相应 
接口 的 封装 情况 。 

3. 网 络 层 及 其 诊断 


网 络 层 提供 建立 、 保 持 和 释放 网 络 层 连接 的 手段 ， 包 括 路 由 选择 、 流 量 控制 、 传 输 确 认 、 
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中 断 、 差 错 及 故障 恢复 等 。 排 除 网 络 层 故 障 的 基本 方法 是 沿 着 从 源 到 目标 的 路 径 查 看 路 由 器 路 
由 表 , 同时 检查 路 由 器 接口 的 他 地 址 。 如果 路 由 没有 在 路 由 表 中 出 现 ， 应 该 通过 检查 来 确定 是 
否 已 经 输入 适当 的 静态 路 由 、 默 认 路 由 或 者 动态 路 由 。 然 后 手工 配置 一 些 丢失 的 路 由 ， 或 者 排 
除 一 些 动态 路 由 选择 过 程 的 故障 , 包括 RIP 或 者 IGRP 路 由 协议 出 现 的 故障 。 例 如， 对 于 IGRP 
路 由 选择 信息 只 在 同一 自治 系统 号 (AS) 的 系统 之 间 交 换 数 据 ， 查 看 路 由 器 配置 的 自治 系统 号 
的 匹配 情况 。 

4. 应 用 层 及 其 诊断 


应 用 层 提供 最 终 用 户 服务 ， 如 文件 传输 、 电 子 信 息 、 电 子 邮件 和 虚拟 终端 接 入 等 。 排 除 网 
络 层 故 障 的 基本 方法 是 首先 在 服务 器 上 检查 配置 ， 测 试 服务 器 是 否 正常 运行 ， 如 果 服 务 器 没有 
问题 再 检查 应 用 客户 端 是 否 正确 配置 。 


12.8 网 络 规划 案例 


12.8.1 案例 1 


某 学 校 在 原 校 园 网 的 基础 上 进行 网 络 改造 ， 网 络 方案 如 图 12-30 所 示 。 其 中 ， 网 管 中 心 位 
于 办 公 楼 第 三 层 ， 采 用 动态 及 静态 结合 的 方式 进行 PP 地 址 的 管理 和 分 配 。 


图 12-30 某 校 园 网 络 改 造 方案 
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【问题 1】 

设备 选 型 是 网 络 方案 规划 设计 的 一 个 重要 方面 ， 请 用 200 字 以 内 文字 简要 叙述 设备 选 型 的 
基本 原则 。 

【问题 2】 

从 下 表 12-8 中 为 图 12-30 中 的 〈1) 一 〈5) 处 选择 合适 的 设备 ， 将 设备 名 称 写 在 答题 纸 的 


表 12-8 设备 表 
性 能 描述 

模块 化 接 入 , 固定 的 广域网 接口 + 可 选 广域网 接口 , 固定 的 局 域 网 接 
口 100/1000Base-T/TX 

交换 容量 :1.2T， 转 发 性 能 :285Mpps， 可 支持 接口 类 型 ，100/1000 
BaseT、GE、10GE， 电 源 见 余 : 1+1 

交换 容量 : 140G， 转 发 性 能 :100Mpps， 可 支持 接口 类 型 GE， 电 
源 见 余 : 无 ，20 百 / 千 兆 自 适 应 电 口 

交换 容量 : 100G， 转 发 性 能 : 66Mpps， 可 支持 接口 类 型 ; FE、GE， 


设备 类 型 | 设备 名 称 
路 由 器 Routerl 


Switch1 


交换 机 Switch2 


Se 电源 宛 余 : 无 ，24 千 光 光 口 
【问题 3] 
为 图 12-30 中 的 〈6) 一 〈9) 处 选择 介质 ， 填 写 在 答题 纸 的 相应 位 置 。 
备 选 介质 : 
于 光 双 绞 线 。” 百 光 双 绞 线 。” 双 千 光 光 纤 链 路 。 干 兆 光纤 
【问题 4] 


请 用 200 字 以 内 文字 简要 叙述 针对 不 同 用 户 分 别 进行 动态 和 静态 人 P 地 址 配置 的 优点 , 并 说 
明 图 中 的 服务 器 以 及 用 户 采 用 哪 种 方式 进行 人 P 地 址 配置 〈 见 表 12-9)。 


表 12-9 ”JP 地 址 配置 方式 


JIP 地 址 配置 方式 

邮件 服务 器 1) 

网 管 PC (2) 

学 生 PC (3) 
【问题 $】 
通常 ， 有 恶意 用 户 采 用 地 址 假冒 方式 盗用 人 P 地 址 ， 可 以 采用 什么 策略 防止 静态 人 P 地 址 的 

盗用 ? 

【问题 6】 


(1) 图 12-30 中 的 区 域 A 是 什么 区 ? 《请 从 以 下 选择 ) 
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A. 服务 区 B.DMZ 区 C. 堡垒 主机 D. 安全 区 
(2) 学 校 网 络 中 的 设备 或 系统 有 存储 学 校 机 密 数据 的 服务 器 、 邮 件 服务 器 、 存 储 资源 代码 
的 PC、 应 用 网 关 、 存 储 私 人 信息 的 PC 和 电子 商务 系统 等 ， 这 些 设备 哪些 应 放 在 区 域 A 中 , 哪 
些 应 放 在 内 网 中 ? 请 简要 说 明 。 


1. 案例 分 析 


(1) 本 案例 的 问题 1 主要 是 考查 网 络 设备 选 型 方面 的 知识 。 一 般 而 言 ， 在 选择 网 络 设备 时 
应 当 遵 循 以 下 原则 。 

@ 可 靠 性 。 由 于 升级 的 往往 是 核心 和 骨干 网 络 ， 其 重要 性 不 言 而 喻 ， 一 旦 瘫痪 则 影响 巨 
大 。 因 此 ， 必 须 将 可 靠 性 放 在 第 一 位 ， 无 论 是 品牌 的 选择 ， 还 是 设备 的 配置 ， 都 将 可 靠 性 作为 
第 一 考虑 。 

@ 性 能 。 作 为 骨干 网 络 节点 ， 中 心 交换 机 、 汇 聚 交换 机 必须 能 够 提供 完全 无 阻塞 的 多 层 
交换 性 能 ， 以 保证 业务 的 顺畅 。 

@ 可 管理 性 。 一 个 中 大 型 网 络 可 管理 程度 的 高 低 直 接 影响 着 运行 成 本 和 业务 质量 。 因 此 ， 
所 有 的 节点 都 应 是 可 网 管 的 ， 而 且 需 要 有 一 个 强 有 力 、 简 洁 的 网 络 管理 系统 能 够 对 网 络 的 业务 
流量 、 运 行 状况 等 进行 全 方位 的 监控 和 管理 。 

@ 灵活 性 和 可 扩展 性 。 由 于 校园 网 络 结构 复杂 ， 需 要 交换 机 能 够 持续 全 系列 接口 ， 例 如 
光 口 和 电 口 、 百 兆 、 千 兆 和 万 兆 端口 ， 以 及 多 模 光 纤 接 口 和 长 距离 的 单 模 光 纤 接口 等 。 其 交换 
结构 也 应 能 根据 网 络 的 扩容 灵活 地 扩大 容量 。 其 软件 应 具有 独立 知识 产权 ， 应 保证 其 后 续 研 发 
和 升级 ， 以 保证 对 未 来 新 业务 的 支持 。 

@ 安全 性 。 随 着 网 络 的 普及 和 发 展 ， 各 种 各 样 的 攻击 也 在 威胁 着 网 络 的 安全 。 不 仅仅 是 
接 入 交换 机 ， 骨 王 层 次 的 交换 机 也 应 考虑 到 安全 防范 的 问题 ， 例 如 访问 控制 、 带 宽 控 制 等 ， 从 
而 有 效 控制 不 良 业务 对 整个 骨干 网 络 的 侵害 。 

@ QoS 控制 能 力 。 随 着 网 络 上 的 多 媒体 业务 流 〈 语 音 、 视 频 等 ) 越 来 越 多 ， 人 们 对 核心 
交换 节点 提出 了 更 高 的 要 求 ， 不 仅 要 能 进行 一 般 的 线 速 交换 ， 还 要 能 根据 不 同业 务 流 的 特点 对 
它们 的 优先 级 和 带宽 进行 有 效 的 控制 ， 从 而 保证 重要 业务 和 时 间 敏 感 业务 的 顺畅 。 

@ 标准 性 和 开放 性 。 由 于 网 络 往往 是 一 个 具有 多 种 厂商 设备 的 环境 ， 因 此 ， 所 选择 的 设 
备 必须 能 够 支持 业界 通用 的 开放 标准 和 协议 ， 以 便 能 够 和 其 他 厂商 的 设备 有 效 的 互通 。 

性 价 比 。 在 满足 网 络 需求 和 网 络 应 用 的 基础 上 还 应 当 充 分 考虑 设备 的 性 价 比 ， 以 达到 
最 大 的 投资 回报 率 。 

(2) 问题 2 要 求 考生 掌握 网 络 方案 设计 中 设备 部 署 的 相关 知识 ， 从 表 中 关于 路 由 器 设备 的 
性 能 描述 “固定 的 广域网 接口 + 可 选 广域网 接口 ”可 知 ， 图 12-30 中 空 (1) 处 的 网 络 设备 应 选 
择 路 由 器 (Routerl )， 通 过 Routerl 的 广域网 接口 连接 到 Intemet。 根 据 交换 容量 、 包 转发 能 力 、 
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可 支持 接口 类 型 和 电源 见 余 模块 等 方面 对 比 表 中 交换 机 设备 Switchl、Switch2、Switch3 可 知 ， 
设备 Switchl 的 性 能 和 可 靠 性 最 好 ， 设 备 Switch2 的 性 能 次 之 ， 设 备 Switch3 的 性 能 稍 差 一 些 。 
仔细 分 析 该 校园 网 的 拓扑 结构 ， 可 知 室 (2) 处 的 网 络 设备 是 校园 网 的 核心 层 ， 它 必须 提供 稳 
定 可 靠 的 高 速 交换 ， 并 且 能 够 连接 各 种 接口 类 型 ， 因 此 空 (2) 处 的 设备 应 为 Switch1 。 

室 (3) 处 的 网 络 设备 至 少 需要 提供 一 个 百 兆 / 千 兆 电 口 用 于 连接 至 防火 墙 的 DMZ 接 
若干 个 快速 以 太 网 电 口 或 光 口 用 于 连接 服务 器 组 、 用 户 管理 器 和 网 络 管理 工作 站 。 表 中 关 于 交 
换 机 设备 Switch2 的 性 能 描述 “可 支持 接口 类 型 GE，20 百 / 千 兆 自 适应 电 口 ” 信 息 可 满足 以 
上 网 络 连接 要 求 ， 因 此 空 (3) 处 的 网 络 设备 应 选择 交换 机 Switch2 。 

从 空 (4) 和 空 (5) 的 位 置 可 知 ， 该 设备 位 于 汇聚 层 。 考 虑 到 综合 布线 系统 中 各 大 楼 建筑 
物 之 间 通 常 采用 光纤 作为 传输 介质 ， 结 合 表 中 关于 交换 机 设备 Switch3 的 性 能 描述 “可 支持 接 
类 型 : FE、GE, 24 千 兆 光 口 ”信息 可 知 , 空 (4) 和 空 (5) 处 的 网 络 设备 应 选择 交换 机 Switch3。 

(3) 问题 3 要 求 考生 掌握 网 络 方案 设计 中 传输 介质 选择 的 相关 知识 。 

由 I 下 EE 802.3ad 工作 组 制定 的 链 路 聚合 (Port Trunking) 技术 支持 IEEE 802.3 协议 ， 是 一 
种 用 来 在 两 台 核心 交换 机 之 间 扩 大 通信 吞吐 量 、 提 高 可 靠 性 的 技术 。 该 技术 可 使 交换 机 之 间 连 
接 最 多 4 条 负载 均衡 的 兄 余 连接 。 核 心 交换 机 之 间 采 用 双 千 兆 光 纤 结 构 ， 可 以 保证 在 任何 时 刻 
任意 一 条 链 路 出 现 故 障 时 在 极 短 的 时 间 内 自动 切换 到 另 一 条 链 路 上 ， 从 而 排除 单 点 故障 。 在 如 
图 12-30 所 示 的 拓扑 结构 中 ， 新 的 核心 层 交 换 机 与 原 校园 网 的 连接 介质 应 该 采用 双 千 兆 光 纤 链 
路 以 提高 可 靠 性 。 

结合 工程 经 验 可 知 ， 在 设计 层次 化 网 络 方案 时 ， 综 合 考虑 到 网 络 应 用 涉及 数据 、 音 频 、 视 
频传 输 ， 为 保证 传输 带宽 和 质量 ， 核 心 层 交 换 机 与 各 层 交 换 机 的 连接 介质 一 般 采 用 千 兆 光纤 ， 
即 空 (7) 处 的 传输 介质 可 选择 “ 千 光 光纤 ”。 

根据 上 面 的 分 析 可 知 ， 空 《3)〉 处 的 交换 机 Switch2 可 支持 千 兆 以 太 网 (GE) 接口 类 型 ， 
且 有 20 个 百 兆 / 千 兆 自 适应 电 口 。 综 合 考虑 到 与 Switch2 交换 机 相连 接 的 服务 器 组 要 求 较 高 的 
通信 性 能 ， 因 此 空 〈8) 处 的 传输 介质 可 选择 “ 千 兆 双 绞 线 ” 空 (9) 处 的 传输 介质 用 于 连接 
网 管 工 作 站 ， 一 般 与 交换 机 设备 距离 不 会 超过 100m， 并 且 对 传输 速率 和 服务 质量 没有 太 高 的 要 
求 ， 因 此 空 9) 处 的 传输 介质 可 选择 “ 百 兆 双 绞 线 ”。 

(4) 本 问题 比较 简单 ， 一 方面 是 考查 静态 IP 地 址 和 动态 人 P 地 址 的 区 别 ， 另 一 方面 是 考查 
哪些 设备 应 配置 静态 卫 地 址 ， 哪 些 设备 适宜 采用 动态 分 配 下 地 址 。 

在 采用 静态 PP 地 址 配置 方案 时 ， 每 个 用 户 都 有 自己 独立 且 固定 的 卫 地址。 通常 ， 企 业 网 
或 校园 网 中 的 路 由 器 、 交 换 机 、 防 火 墙 、 各 种 应 用 服务 器 、 网 络 管理 工作 站 、 网 络 打印 机 等 应 
采用 静态 卫 地 址 分 配 。 因 此 ， 本 小 题 邮件 服务 器 、 网 管 PC 需 采 用 静态 卫 地 址 。 

由 于 卫 地 址 资源 的 宝贵 性 ， 加 上 用 户 上 网 时 间 和 空间 的 离散 性 ， 采 用 动态 卫 地 址 配置 方 
案 为 用 户 分 配 一 个 临时 的 下 地 址 一 方面 可 避免 卫 地 址 资源 的 浪费 ， 另 一 方面 对 用 户 透 明 ， 不 
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需要 在 每 台 用 户 计算 机 上 配置 人 P 参数 , 比较 简单 方便 。 这 种 配置 方案 增加 了 用 户 接 入 的 灵活 性 ， 
适合 于 客户 端的 接 入 场景 ， 因 此 学 生 PC 最 好 采用 动态 全 地址 。 

(5) 本 小 题 要 求 考生 掌握 防止 静态 卫 地 址 盗用 的 相关 知识 。 了 P 地 址 的 修改 非常 容易 , MAC 
地 址 存储 在 网 卡 的 EEPROM 中 ， 而 且 网 卡 的 MAC 地 址 是 唯一 确定 的 。 因 此 ， 为 了 防止 内 部 人 
员 进 行 非法 人 P 盗用 《例如 盗用 权限 更 高 人 员 的 下 地 址 ， 以 获得 权限 外 的 信息 )， 可 以 将 内 部 网 
络 的 中 地 址 与 MAC 地 址 绑 定 ,盗用 者 即使 修改 了 下 地 址 , 也 因 MAC 地 址 不 匹配 而 盗用 失败 。 

(6) 本 小 题 要 求 考 生 掌 握 防火 墙 DMZ 区 概念 以 及 服务 器 部 署 的 相关 知识 。 防 火 墙 中 的 DMZ 
区 也 称 为 非 武 装 区 域 ， 允 许 外 网 的 用 户 有 限度 地 访问 其 中 的 资源 。 通 常 ，DMZ 区 的 安全 规则 
如 下 。 

名 允许 外 部 网 络 用 户 访问 DMZ 区 的 面向 外 网 的 应 用 服务 (如 Web、FTP 和 BBS 等)。 

@ 允许 DMZ 区 内 的 应 用 服务 器 及 工作 站 访问 Intemet。 

@ 禁止 DMZ 区 的 应 用 服务 器 访问 内 部 网 络 。 

@ 禁止 外 部 网 络 非法 用 户 访问 内 部 网 络 等 。 

通常 ，DMZ 中 的 服务 器 不 应 包含 任何 商业 机 密 、 资 源 代码 或 是 私人 信息 。 存 放 机 密 、 私 
人 信息 的 设备 应 部 署 在 内 部 网 络 中 。 

由 以 上 分 析 可 知 ， 要 保证 学 校 相 关 信息 的 机 密 性 ， 就 要 避免 外 部 网 络 的 用 户 和 内 部 网 络 中 
未 经 授权 的 用 户 直接 访问 存储 学 校 机 密 数 据 的 服务 器 、 存 储 资源 代码 的 PC 和 存储 私人 信息 的 
PC 等 ， 因 此 需要 将 这 些 设 备 部 署 在 校园 网 内 部 网 络 中 以 确保 其 安全 。 

对 于 邮件 服务 器 、 电 子 商 务 系统 和 应 用 网 关 等 设备 既 要 允许 内 、 外 网 主机 对 其 访问 ， 又 要 
保障 它们 的 安全 性 。 因 此 ， 这 些 设 备 需 部 署 在 防火 墙 的 DMZ 区 域 中 。 


2. 案例 参考 答案 


(1) 标准 化 原则 : 所 选择 的 设备 必须 基于 国际 标准 或 行业 标准 ， 因 为 只 有 基于 标准 的 产品 
才 有 可 能 与 其 他 厂商 的 产品 互 连 互通 。 

可 管理 性 原则 : 对 于 大 型 网 络 而 言 , 这 一 点 是 至 关 重 要 的 ， 它 不 仅 关系 到 系统 的 性 能 指标 ， 
甚至 关系 到 系统 的 可 用 性 。 主 要 考查 网 管 系统 对 所 选 设备 的 监管 、 配 置 能 力 ， 以 及 设备 可 以 提 
供 的 统计 信息 和 故障 检测 手段 ， 如 骨干 交换 机 必须 具备 端口 镜像 能 力 。 这 对 于 故障 诊断 ， 以 及 
今后 的 网 络 规划 具有 特别 重要 的 价值 。 

容错 元 余 性 原则 : 除了 在 网 络 设计 时 要 考虑 见 余 ,骨干 设 备 的 容错 元 余 也 是 必需 的 。 所 请 
容错 ， 就 是 设备 的 某 一 模块 出 现 故 障 时 是 否 会 影响 其 他 模块 ， 乃 至 其 他 设备 的 正常 工作 ;是 否 
支持 热 插 拔 ， 是 否 支 持 备份 设备 的 自动 切换 等 。 所 谓 元 余 ， 就 是 配置 的 设备 是 否 可 以 安装 多 个 
相同 功能 的 模块 ， 在 工作 正常 的 情况 下 实施 负载 分 担 ， 当 其 中 一 个 出 现 问题 时 自动 切换 。 

可 扩展 性 原则 : 主干 设备 的 选择 应 预 留 一 定 的 扩展 能 力 ， 而 低 端 设备 够 用 即 可 。 
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保护 原 有 投资 原则 : 根据 方案 实际 需要 选 型 ， 即 根据 网 络 实际 带宽 性 能 需求 、 端 口 类 型 和 
端口 密度 等 选 型 。 尽 量 让 旧 设 备 降 级 纳入 到 新 系统 中 ， 保 护 用 户 原 有 的 投资 。 


(2) 室 (1): Routerl 室 (2): Switch1 空 (3): Switch2 
室 (4): Switch3 室 (5): Switch3 

(3) 空 (6): 双 千 兆 光 纤 链 路 。 空 (7): 千 兆 光纤 
空 (8): 千 兆 双 绞 线 空 (9): 百 兆 双 绞 线 


(4) 静态 卫 地 址 配置 优点 : 每 个 用 户 拥有 固定 的 他 地 址 ， 便 于 网 络 的 管理 以 及 资源 的 相 
互 访问 ， 无 须 配置 专用 的 瑟 地 址 管理 服务 器 。 动 态 卫 地 址 配置 优点 : 可 避免 瑟 地 址 资源 的 浪 
费 ， 增 加 了 用 户 入 网 的 灵活 性 。 

空 (1): 静态 卫 地 址 室 (2): 静态 下 地 址 空 (3): 动态 他 地 址 

(5) 将 卫 地 址 与 MAC 地 址 进行 绑 定 。 

(6) 区 域 A 是 DMZ 区 域 。 区 域 A 中 放置 邮件 服务 器 、 应 用 网 关 、 电 子 商务 系统 ， 内 网 中 
放置 存储 学 校 机 密 数 据 的 服务 器 、 存 储 资源 代码 的 PC 和 存储 私人 信息 的 PC。 

DMZ (Demilitarized Zone) 可 以 理解 为 一 个 不 同 于 外 网 或 内 网 的 特殊 网 络 区 域 。DMZ 内 
通常 放置 一 些 不 含 机 密 信息 的 公用 服务 器 , 例如 Web、Mail 和 FTP 等 。 这 样 ， 来自 外 网 的 访问 
者 可 以 访问 DMZ 中 的 服务 ,但 不 可 能 接触 到 存放 在 内 网 中 的 公司 机 密 或 私人 信息 等 。 即 使 DMZ 
中 服务 器 受到 破坏 ， 也 不 会 对 内 网 中 的 机 密 信息 造成 影响 。 

12.8.2 ”案例 2 


某 企 业 网 络 的 拓扑 结构 如 图 12-31 所 示 ， 阅 读 以 下 关于 该 企业 网 络 结构 的 描述 ， 然 后 回答 
问题 1 至 问题 4。 

(1) 某 企业 网 络 由 总 公司 和 分 公司 组 成 , 其 中 , 分 公司 的 网 络 自治 系统 2(AS 2) 采 用 OSPF 
路 由 协议 ， 总 公司 的 网 络 自治 系统 1 (AS 1) 采用 RIPv2 路 由 协议 。 

(2) 该 企业 网 络 有 两 个 出 口 ， 一 个 出 口 通过 Routerl 的 S0 端口 连接 ISP1， 另 一 个 出 口 通 
过 Routerl 的 S1 端口 连接 ISP2。 

(3) 路 由 器 Routerl 的 Fa0/0 端口 连接 LAN3, 该 端口 的 下 地 址 为 192.168.3.1/24。Routerl 
的 Fa0/0、Fa0/1、Fa0/2 端口 启用 了 RIPv2 协议 。Routerl 的 Fa0/3 端口 启用 了 OSPF 协议 。 

(4) 路 由 器 Router2 的 Fa0/0 端口 连接 LAN 1, 其 瑟 地 址 为 192.168.1.1/24, 在 该 端口 启用 
了 RIPv2 协议 。 

(5) 路 由 器 Routers 的 Fa0/1 端口 连接 LAN 2 (192.168.2.0/24)， 该 端口 的 卫 地 址 为 192. 
168.2.1/24。 
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192.168.2.0/24 
Router 5 | Fa0/1 


Router 4 


了 


Server A 


图 12-31 某 企 业 网 络 拓扑 结构 图 


【问题 1】 

与 Router2 连接 的 局 域 网 LAN 1 是 一 个 末节 网 络 ， 而 且 已 接近 饱和 ， 为 了 减少 流量 ， 需 要 
过 滤 进 入 LAN 1 的 路 由 更 新 ， 可 以 采用 什么 方法 实现 ?请 写 出 配置 过 程 。 

【问题 2】 

LAN 2 中 的 计算 机 不 需要 访问 LAN 3 中 的 计算 机 ， 为 了 进一步 控制 流量 ， 网 络 管理 员 决 定 
通过 访问 控制 列表 阻止 192.168.2.0/24 网 络 中 的 主机 访问 192.168.3.0/24 网 络 ， 请 问 应 将 访问 控 
制 列 表 设 置 在 哪 台 路 由 器 上 ? 如 何 配置 ? 

【问题 3】 

如 果 希 望 采 用 策略 路 由 将 来 自 192.168.3.0/24 网 络 去 往 Intemet 的 数据 流转 发 到 ISP1， 将 来 
自 192.168.2.0/24 网 络 去 往 Internet 的 数据 流转 发 到 ISP2， 应 如 何 配置 ? 

【问题 4】 

要 求 自治 系统 1 中 的 路 由 器 Router2 能 学 习 到 自治 系统 2 (OSPF 网 络 ) 中 的 路 由 信息 ， 同 
时 Router3 也 能 学 习 到 自治 系统 1 中 的 路 由 信息 ， 应 采用 什么 方法 ? 请 写 出 配置 过 程 。 
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1. 案例 分 析 


网 络 管理 员 可 以 通过 设置 路 由 器 何 时 交换 路 由 更 新 以 及 路 由 更 新 中 应 包含 哪些 信息 来 优 
化 网 络 中 的 路 由 。 本 案例 主要 考查 路 由 优化 方面 的 相关 知识 ， 包 括 路 由 更 新 控制 、 基 于 策略 的 
路 由 和 路 由 重 发 布 等 。 

(1) 问题 1 需要 过 滤 进 入 LAN 1 的 路 由 更 新 ， 可 以 将 连接 LAN 1 的 Fa0/0 端口 配置 为 被 动 
接口 。 被 动 接口 只 接收 路 由 更 新 不 发 送 路 由 更 新 。passive-interface 命令 可 以 用 于 所 有 他 内 部 网 
关 协 议 (包括 RIP、IGRP、EIGRP、OSPF 和 IS-IS)， 该 命令 的 语法 如 下 。 


Router(config-router)# passive-interface type number 


(2) 为 了 过 滤 不 必要 的 通信 流量 ， 可 以 通过 配置 访问 列表 来 实现 。 问 题 2 主要 考查 配置 访 
问 控制 列表 的 原则 和 方法 。 访 问 控制 列表 (ACL) 是 应 用 于 路 由 器 接口 的 指令 列表 ， 用 于 指定 
哪些 数据 包 可 以 接收 并 转发 ， 哪 些 数据 包 需 要 拒绝 ，ACL 可 以 限制 网 络 流量 、 提 高 网 络 性 能 。 
ACL 的 工作 原理 是 读 取 数 据 包 中 第 三 层 及 第 四 层 头 部 中 的 源 于、 目的 也 和 目的 端口 等 信息 ， 
然后 根据 预先 定义 好 的 规则 对 包 进 行 过 滤 。 

访问 控制 列表 的 种 类 包括 标准 访问 控制 列表 和 扩展 访问 控制 列表 。 其 中 标准 访问 控制 列表 
根据 数据 包 的 源 下 地 址 决定 转发 或 丢弃 数据 包 ， 其 常用 的 访问 控制 列表 号 为 1 一 99。 扩 展 访问 
控制 列表 基于 源 一 、 目 的 一、 传输 层 协 议和 应 用 服务 端口 号 进行 过 滤 ， 使 用 扩展 ACL 可 实现 
更 加 精确 的 流量 控制 ， 其 常用 的 访问 控制 列表 号 为 100 一 199。 

ACL 通过 过 滤 数据 包 并 且 丢 弃 不 希望 抵达 目的 地 的 数据 包 来 控制 通信 流量 。 然 而 能 否 有 效 
地 减少 不 必要 的 通信 流量 ， 这 还 要 取决 于 网 络 管理 员 把 ACL 部 署 在 哪个 地 方 。 其 部 署 原则 是 
标准 ACL 要 尽量 靠近 目的 端 , 扩展 ACL 则 要 尽量 靠近 源 端 因此 ， 本 小 题 应 在 路 由 器 Router5 
上 配置 扩展 访问 控制 列表 。 

(3) 本 小 题 要 求 考生 掌握 策略 路 由 的 原理 及 其 配置 方法 。 通 过 策略 路 由 ， 路 由 器 可 以 按照 
事先 设置 好 的 规则 根据 数据 包 的 目的 下 或 源 中 来 选择 路 由 。 尽 管 策略 路 由 可 以 用 于 在 AS 中 
控制 数据 流 ， 但 它 通 常用 于 控制 AS 间 的 路 由 。 

“route-map” 命 令 用 于 配置 策略 路 由 ， 其 语法 如 下 。 

Router(config)j# route-map map-tag {permitldeny} [sequence-number] 

Router(config-map-router)# 

参数 “map-tag” 是 该 路 由 图 的 标识 符 ， 可 以 将 其 设置 为 容易 理解 的 字符 串 ， 例 如 “ISP2”。 
“Toute-map” 命 令 将 把 路 由 器 的 模式 改变 为 路 由 图 配置 模式 (config-map-router)， 在 该 模式 下 ， 
可 以 为 路 由 图 配置 条 件 。 每 个 “route-map” 命 令 中 都 有 一 组 “set” 和 “match” 命 令 。“match” 
命令 用 于 指定 匹配 准则 ,“set” 命 令 用 于 设置 满足 匹配 条 件 时 要 采取 的 动作 。 
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路 由 图 的 运行 机 理 和 访问 控制 列表 相似 ， 都 是 逐 行进 行 检查 ， 遇 到 匹配 就 立即 进行 处 理 。 
(4) 本 小 题 要 求 考生 掌握 路 由 重 发 布 相关 基本 知识 及 配置 方法 。 为 了 在 因特网 络 中 高 效 地 
支持 多 种 路 由 选择 协议 ， 必 须 在 这 些 不 同 的 路 由 协议 之 间 共 享 路 由 信息 。 例 如 ， 从 RIP 路 由 进 
程 所 学 习 到 的 路 由 可 能 需要 被 注入 到 IGRP 路 由 进程 中 去 。 在 路 由 选择 协议 之 间 交 换 路 由 信息 
的 过 程 称 为 路 由 重 发 布 。 这 种 重 发 布 可 以 是 单 向 的 或 双向 的 ， 单 向 是 指 一 种 路 由 协议 从 另 一 种 
路 由 协议 那里 接收 路 由 ， 双 向 是 指 两 种 路 由 选择 协议 互相 接收 对 方 的 路 由 。 执 行路 由 重 发 布 的 
路 由 器 称 为 边界 路 由 器 ， 因 为 它 处 于 两 个 或 多 个 自治 系统 或 者 路 由 域 的 边界 上 。 
根据 本 小 题 的 要 求 ， 应 该 在 路 由 器 Routerl 上 配置 双向 路 由 重 发 布 。 


2. 案例 参考 答案 
(1) 为 了 阻止 路 由 更 新 进入 LAN 1， 可 以 将 路 由 器 Router2 的 Fa0/0 端口 配置 为 被 动 接口 。 


Router2(config)# router rip 
Router2(config-router)# passive-interface fa0/0 


(2) 应 将 访问 控制 列表 设置 在 路 由 器 Router5 上 ， 配 置 方 法 如 下 。 


RouterS(config)# access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 
RouterS(config)# access-list 101 permit ip any any 

RouterS(config)# int fa0/1 

RouterS(config-if)#ip access-group 101 in 


(3) 可 以 在 路 由 器 Routerl 上 配置 策略 路 由 ， 其 配置 方法 如 下 。 


Routerl(config)j# access-list 1 permit 192.168.3.0 0.0.0.255 
Routerl(config)j# access-list 2 permit 192.168.2.0 0.0.0.255 
Routerl(config)j# route-map ISP1 permit 10 

Routerl (config-route-map)# match ip address 1 
Routerl(config-route-map)# set interface serial 0 

Routerl (config-route-map)# exit 

Routerl(config)# route-map ISP2 permit 20 
Routerl(config-route-map)# match ip address 2 
Routerl(config-route-map)# set interface serial 1 


然后 将 每 个 路 由 图 应 用 到 路 由 器 Routerl 的 适当 接口 上 ， 这 里 的 适当 接口 是 指数 据 流 进入 
路 由 器 的 接口 。 


Routerl(config)# interface fa0/0 
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Routerl (config-if)# ip policy route-map ISP1 
Routerl(config-if)# interface fa0/1 
Routerl(config-if)# ip policy route-map ISP2 
Routerl(config-if)# interface fa0/2 
Routerl(config-if)# ip policy route-map ISP2 


(4) 可 以 在 两 个 自治 系统 的 边界 路 由 器 Routerl 上 设置 路 由 重 发 布 ， 配 置 过 程 如 下 。 
配置 OSPF 协议 和 路 由 重 发 布 命 令 : 


Routerl(config)# router ospf 101 
Routerl (config-router)# redistribute rip subnets 
Routerl(config-router)# network *.x.x.x wildcard area 0 


配置 RIP 协议 和 路 由 重 发 布 : 


Routerl(config)# router rip 

Routerl(config-router)# network x.x.x.x /配置 多 条 network 命令 

Routerl (config-router)# passive-interface fa0/3 

Routerl (config-router)# redistribute ospf 101 match internal external 1 external 2 
Routerl(config-router)# default-metric 10 


